Miles de sitios de WordPress que utilizan una versión vulnerable del complemento Popup Builder se han visto comprometidos con un malware llamado Balada Injector.
La campaña, documentada por primera vez por Doctor Web en enero de 2023, se desarrolla en una serie de oleadas periódicas de ataques, aprovechando los fallos de seguridad en complementos de WordPress para inyectar una puerta trasera diseñada para redirigir a los visitantes de sitios infectados a páginas de soporte técnico falsas, premios de lotería fraudulentos y estafas con notificaciones automáticas. .
Los hallazgos posteriores descubiertos por Sucuri han revelado la escala masiva de la operación, que se dice que ha estado activa desde 2017 y se ha infiltrado en no menos de 1 millón de sitios desde entonces.
La empresa de seguridad de sitios web propiedad de GoDaddy, que detectó la última actividad del Balada Injector el 13 de diciembre de 2023, dijo que identificó las inyecciones en más de 7.100 sitios.
Estos ataques aprovechan una falla de alta gravedad en Popup Builder (CVE-2023-6000, puntuación CVSS: 8,8), un complemento con más de 200.000 instalaciones activas, que WPScan reveló públicamente un día antes. El problema se solucionó en la versión 4.2.3.
El objetivo final de la campaña es insertar un archivo JavaScript malicioso alojado en specialcraftbox[.]com y utilizarlo para tomar el control del sitio web y cargar JavaScript adicional para facilitar redirecciones maliciosas.
Además, se sabe que los actores de amenazas detrás de Balada Injector establecen un control persistente sobre los sitios comprometidos al cargar puertas traseras, agregar complementos maliciosos y crear administradores de blogs fraudulentos.