Ciberseguridad 360 | Balada Injector ataca a miles de sitios WordPress

Miles de sitios de WordPress que utilizan una versi�n vulnerable del plugin Popup Builder se han visto comprometidos con un malware llamado Balada Injector.

Documentada por primera vez por Doctor Web en enero de 2023, la campa�a se lleva a cabo en una serie de oleadas de ataques peri�dicos, aprovechando los fallos de seguridad de los plugins de WordPress para inyectar backdoors dise�ados para redirigir a los visitantes de los sitios infectados a p�ginas falsas de soporte t�cnico, premios de loter�a fraudulentos y estafas de notificaciones push.

Los hallazgos posteriores desenterrados por Sucuri han revelado la escala masiva de la operaci�n, que se dice que ha estado activa desde 2017 y se ha infiltrado en no menos de 1 mill�n de sitios desde entonces.

La compa��a de seguridad de sitios web propiedad de GoDaddy, que detect� la �ltima actividad de Balada Injector el 13 de diciembre de 2023, dijo que identific� las inyecciones en m�s de 7.100 sitios.

Estos ataques se aprovechan de un fallo de alta gravedad en Popup Builder (CVE-2023-6000, puntuaci�n CVSS: 8,8) - un plugin con m�s de 200.000 instalaciones activas - que fue revelado p�blicamente por WPScan un d�a antes. El problema se solucion� en la versi�n 4.2.3.

"Cuando se explota con �xito, esta vulnerabilidad puede permitir a los atacantes realizar cualquier acci�n que el administrador conectado al que se dirigen est� autorizado a hacer en el sitio objetivo, incluyendo la instalaci�n de plugins arbitrarios y la creaci�n de nuevos usuarios administradores falsos", dijo Marc Montpas, investigador de WPScan.

El objetivo final de la campa�a es insertar un archivo JavaScript malicioso alojado en specialcraftbox[.]com y utilizarlo para tomar el control del sitio web y cargar JavaScript adicional con el fin de facilitar redireccionamientos maliciosos.

Adem�s, los actores de la amenaza detr�s de Balada Injector son conocidos por establecer un control persistente sobre los sitios comprometidos mediante la carga de puertas traseras, la adici�n de plugins maliciosos y la creaci�n de administradores de blog falsos.

Esto se logra a menudo mediante el uso de inyecciones de JavaScript dirigidas espec�ficamente a los administradores de sitios que han iniciado sesi�n.

"La idea es que cuando el administrador de un blog inicia sesi�n en un sitio web, su navegador contiene cookies que le permiten realizar todas sus tareas administrativas sin tener que autenticarse en cada nueva p�gina", se�al� el a�o pasado Denis Sinegubko, investigador de Sucuri.

"Por lo tanto, si su navegador carga un script que intenta emular la actividad del administrador, ser� capaz de hacer casi todo lo que se puede hacer a trav�s de la interfaz de administraci�n de WordPress".

La nueva oleada no es una excepci�n, ya que si se detectan cookies de administrador conectado, utiliza los privilegios elevados para instalar y activar un complemento de puerta trasera fraudulento ("wp-felody.php" o "Wp Felody") con el fin de obtener una carga �til de segunda etapa del dominio antes mencionado.

La carga �til, otro backdoor, se guarda con el nombre de "sasas" en el directorio donde se almacenan los archivos temporales, y a continuaci�n se ejecuta y se elimina del disco.

"Comprueba hasta tres niveles por encima del directorio actual, buscando el directorio ra�z del sitio actual y cualquier otro sitio que pueda compartir la misma cuenta de servidor", explica Sinegubko.

"Luego, en los directorios ra�z de los sitios detectados, modifica el archivo wp-blog-header.php para inyectar el mismo malware Balada JavaScript que se inyect� originalmente a trav�s de la vulnerabilidad Popup Builder".

Fuente: thehackernews.com