Home Sociedad Más de 17.000 sitios de WordPress comprometidos por Balada Injector, en septiembre...

Más de 17.000 sitios de WordPress comprometidos por Balada Injector, en septiembre de 2023

Más de 17.000 sitios web de WordPress se vieron comprometidos en el mes de septiembre de 2023 con un malware conocido como Balada Injector, casi el doble que el número de detecciones en agosto.

De estos, se dice que 9.000 de los sitios web han sido infiltrados utilizando una falla de seguridad recientemente revelada en el complemento tagDiv Composer (CVE-2023-3169, puntuación CVSS: 6.1) que podría ser explotada por usuarios no autenticados para realizar secuencias de comandos almacenadas entre sitios. (XSS) ataques.

Balada Injector es una operación a gran escala descubierta por Doctor Web por primera vez en diciembre de 2022, en la que los actores de amenazas explotan una variedad de fallas en los complementos de WordPress para implementar una puerta trasera de Linux en sistemas vulnerables.

El objetivo principal del implante es dirigir a los usuarios de los sitios comprometidos a páginas de soporte técnico falsas, premios de lotería fraudulentos y estafas de notificaciones automáticas. Más de un millón de sitios web se han visto afectados por la campaña desde 2017.

Los ataques que involucran a Balada Injector se desarrollan en forma de oleadas de actividad recurrentes que ocurren cada dos semanas, con un aumento en las infecciones detectado los martes luego del inicio de una ola durante el fin de semana.

El último conjunto de infracciones implica la explotación de CVE-2023-3169 para inyectar un script malicioso y, en última instancia, establecer un acceso persistente a los sitios mediante la carga de puertas traseras, la adición de complementos maliciosos y la creación de administradores de blogs fraudulentos.

Históricamente, estos scripts se han dirigido a administradores de sitios de WordPress que han iniciado sesión, ya que permiten al adversario realizar acciones maliciosas con privilegios elevados a través de la interfaz de administración, incluida la creación de nuevos usuarios administradores que pueden usar para ataques posteriores.

La naturaleza de rápida evolución de los scripts se evidencia por su capacidad para colocar una puerta trasera en las páginas de error 404 de los sitios web que son capaces de ejecutar código PHP arbitrario o, alternativamente, aprovechar el código incrustado en las páginas para instalar un complemento malicioso wp-zexit. de forma automatizada.