ClickCease El malware Balada Injector compromete más de 7.000 sitios de WordPress

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El malware Balada Injector compromete más de 7.000 sitios de WordPress

Wajahat Raja

30 de enero de 2024 - Equipo de expertos TuxCare

Los actores de amenazas han utilizado recientemente el malware inyector Balada para aprovecharse de una vulnerabilidad de un plugin, lo que ha puesto en peligro más de 7.000 sitios de WordPress. Informes recientes han arrojado luz sobre las infecciones por el inyector Balada de WordPress, afirmando que los ataques se documentaron por primera vez en diciembre de 2022. Durante el ataque, una versión vulnerable del plugin Popup Builder fue explotada.

En este artículo, nos sumergiremos en todos los detalles del malware inyector Balada y veremos cómo se desarrolla.

Familia de malware Balada Injector 

Comprensión de los orígenes del malware inyector Balada es esencial antes de sumergirse en las complejidades del ataque. La familia de malware ha estado activa desde 2017 y es compatible con múltiples proveedores de ataques y mecanismos de persistencia que garantizan la implementación de intenciones maliciosas.

Cabe mencionar aquí que el código malicioso se identificó inicialmente a finales de diciembre del año pasado. A informe de Doctor Web sobre Balada WordPress plugin vulnerability exploitation afirma que un programa malicioso es capaz de piratear sitios web basados en el sistema de gestión de contenidos (CMS) WordPress explotando múltiples plugins y temas.

Ataques anteriores con el inyector Balada el malware pusieron en peligro más de 17.000 sitios web en septiembre del año pasado. El número de sitios web comprometidos durante ese periodo fue más del doble que el del mes anterior. Durante esos ataques, se explotó una vulnerabilidad relacionada con los temas premium de tagDiv.

El malware Balada Injector y el plugin Popup Builder 

El informe de Doctor Web ofrece más información sobre la metodología de los ataques y señala que los sitios que utilizan versiones obsoletas de plugins y temas están en peligro. Dichas versiones carecen de correcciones cruciales que permiten a los atacantes inyectar código JavaScript malicioso en las páginas objetivo. 

Una vez inyectado el código, los usuarios que hacen clic en cualquier zona de la página atacada son redirigidos a otros sitios. En cuanto al plugin Popup builderlos hackers pueden explotar la vulnerabilidad para realizar acciones maliciosas en nombre de usuarios conectados con privilegios administrativos.

¿Qué hace que el malware inyector Balada es que la vulnerabilidad explotada puede utilizarse incluso para crear un nuevo usuario administrador no autorizado. La vulnerabilidad se había identificado como CVE-2023-6000, con una puntuación de gravedad de 8,8.

Descifrando los ataques del plugin Popup Builder 

Antes de entrar en los detalles del ataque, vale la pena mencionar que el plugin plugin Popup Builder tiene más de 200.000 instalaciones activas. Un uso tan elevado intensifica aún más el malware inyector Balada Balada. Se ha observado en una reciente oleada de ataques que los actores de amenazas son capaces de detectar cookies de administradores conectados.

Una vez detectados, se aprovechan para instalar y activar un plugin de puerta trasera malicioso llamado wp-felony.php. Tras la activación, el plugin malicioso se utiliza para desplegar una carga útil desde specialcraftbox[.]com, que se guarda en un archivo sasas. Este enfoque permite a los actores de amenazas detectar los directorios raíz de los sitios y modificar el archivo "wp-blog-header.php".

A partir de aquí, los hackers pueden inyectar el malware inyector Balada con facilidad. Comprender cómo se ejecuta el ataque es primordial para desarrollar una estrategia de ciberseguridad. Además, los administradores pueden tomar medidas de protección localizando y eliminando la inyección accediendo a la sección "Personalizar JS o CSS" de la sección Popup Builder de su interfaz.

Conclusión 

El malware inyector Balada es una explotación activa de CVE-2023-6000 perteneciente al plugin Popup Builder. Esta vulnerabilidad, una vez explotada, permite a los piratas informáticos utilizar privilegios administrativos y crear usuarios administradores falsos. Dado que el plugin tiene más de 200.000 instalaciones activas, la aplicación de medidas sólidas de ciberseguridad es esencial para protegerse contra este tipo de amenazas.

Las fuentes de este artículo incluyen artículos en The Hacker News y Lectura Oscura.

Resumen
El malware Balada Injector compromete más de 7.000 sitios de WordPress
Nombre del artículo
El malware Balada Injector compromete más de 7.000 sitios de WordPress
Descripción
Obtenga una visión completa del malware inyector Balada y aprenda a aplicar hoy mismo medidas de protección contra las actividades maliciosas.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín