ClickCease El compromiso de Balada Injector WordPress

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El compromiso de Balada Injector WordPress

Wajahat Raja

23 de octubre de 2023 - Equipo de expertos TuxCare

En el mundo en constante evolución de la ciberseguridad, la vigilancia es crucial para salvaguardar su sitio web. Una reciente amenaza conocida como Balada Injector ha arrojado una oscura sombra sobre WordPress, comprometiendo más de 17.000 sitios web en el último mes. Esta entrada del blog ahondará en los detalles del Balada Injector en WordPresssus implicaciones y, lo que es más importante, cómo proteger su sitio de WordPress de esta amenaza.


Balada Injector WordPress Compromiso: Una visión general


El inyector Balada no es un nombre muy conocido, pero ha tenido un gran impacto en la comunidad de WordPress. El Dr. Web descubrió esta actividad cibernética en diciembre de 2022. Balada Injector inyecta un backdoor en ordenadores Linux aprovechando vulnerabilidades conocidas en plugins de temas premium. Este pernicioso backdoor redirige a los visitantes del sitio web a páginas falsas de soporte técnico, falsos premios de lotería y fraudes de notificaciones push.

Esta operación ha suscitado dudas sobre su naturaleza: ¿forma parte de campañas de estafa más amplias o es un servicio ofrecido a actores maliciosos? Sea como fuere, su impacto sobre los propietarios de sitios web y sus visitantes es innegable.


Longevidad y escala


Una revelación sorprendente llegó en abril de 2023, cuando Sucuri informó que Balada Injector había estado activo desde 2017, comprometiendo potencialmente casi un millón de sitios de WordPress. Esto indica una amenaza prolongada y persistente, por lo que es esencial que los administradores de sitios web se mantengan informados y tomen medidas.


La última campaña: Explotación CVE-2023-3169


La campaña más reciente de Balada Injector se centra en CVE-2023-3169, una debilidad de cross-site scripting (XSS) descubierta en tagDiv Composer. Esta herramienta funciona en tándem con los temas Newspaper y Newsmag de tagDiv, que son alternativas populares para sitios de WordPress. Ambos temas son premium y se utilizan con frecuencia en sitios web de éxito con mucho tráfico.

La nueva campaña de esta brecha de seguridad de WordPress comenzó a mediados de septiembre, poco después de que se revelara la vulnerabilidad y se desarrollara una prueba de concepto prueba de concepto. Los atacantes penetraron en sitios de WordPress utilizando el complemento malicioso "wp-zexit.php", que les permitía ejecutar remotamente código PHP guardado en el archivo "/tmp/i". Además, la inyección de código en plantillas conducía a los visitantes a sitios fraudulentos controlados por los atacantes.

 

TagDiv, el desarrollador de los temas afectados, ha reconocido el problema y ha recomendado actualizar a la última versión del tema como medida preventiva. También se recomienda instalar un plugin de seguridad como Wordfence, escanear el sitio web y cambiar todas las contraseñas.


Perspectivas de Sucuri: La complejidad de la campaña


El informe de Sucuri proporciona una visión completa de la campaña del Inyector Balada. Destaca seis oleadas de ataques distintas, algunas de las cuales tienen variaciones, lo que subraya la sofisticación de los atacantes. He aquí un desglose de estos ataques de malware a WordPress:

 

  1. Sitios WordPress comprometidos: Los atacantes inyectaron scripts maliciosos desde "stay.decentralappps[.]com", afectando a más de 5.000 sitios web.
  2. Creación de cuentas de administrador fraudulentas: Al principio, los atacantes utilizaban el nombre de usuario "greeceman", pero más tarde cambiaron a nombres de usuario generados automáticamente a partir del nombre de host del sitio.
  3. Incrustación de puertas traseras: Se abusó del editor de temas de WordPress para incrustar puertas traseras en el archivo "404.php" del tema Periódico para su persistencia sigilosa.
  4. Utilizando el plugin wp-zexit: Los atacantes recurrieron a este plugin, imitando el comportamiento del administrador de WordPress y ocultando puertas traseras en la interfaz Ajax del sitio web.
  5. Mayor aleatoriedad: Para evitar la detección, los atacantes introdujeron tres nuevos dominios y aumentaron la aleatoriedad de los scripts, URL y códigos inyectados.
  6. Nuevos dominios: Los ataques pasaron a utilizar subdominios "promsmotion[.]com", centrándose en tres inyecciones específicas detectadas en 92, 76 y 67 sitios web.

 

Los hallazgos de Sucuri revelan que más de 17,000 sitios de WordPress fueron víctimas de Balada Injector en septiembre de 2023, con aproximadamente la mitad de ellos (9.000) comprometidos a través de CVE-2023-3169. Esto subraya la capacidad de los atacantes para adaptarse rápidamente para maximizar su impacto.


Defensa contra el inyector Balada


Proteger su sitio WordPress de Balada Injector es de vital importancia. Aquí están los pasos para fortificar sus defensas:

  1. Actualice tagDiv Composer: Asegúrese de que su plugin tagDiv Composer está actualizado al menos a la versión 4.2 o posterior. Esta actualización soluciona la vulnerabilidad atacada por Balada Injector.
  2. Mantenga los temas y plugins actualizados: Actualice regularmente todos los temas y plugins de su sitio WordPress. Los desarrolladores suelen lanzar actualizaciones para parchear vulnerabilidades y mejorar la seguridad.
  3. Elimine las cuentas de usuario inactivas: Revise sus cuentas de usuario y elimine las que ya no estén activas o no sean necesarias. Reducir el número de puntos de entrada potenciales para los atacantes es una precaución inteligente.
  4. Escanee en busca de puertas traseras ocultas: Escanee regularmente los archivos de su sitio web en busca de puertas traseras ocultas o código malicioso. Los plugins de seguridad pueden ser muy útiles en este sentido.


Conclusión


Los recientes ataques del Inyector Balada a más de 17.000 sitios web de WordPress sirven de crudo recordatorio de las amenazas siempre presentes en el panorama digital. La mitigación de vulnerabilidades en WordPress es un aspecto crítico para mantener un sitio web seguro y resistente. Es nuestra responsabilidad mantenernos informados, permanecer vigilantes y tomar medidas proactivas para proteger nuestros activos en línea.

Aplicación de buenas prácticas de seguridad es esencial para proteger su presencia en línea. Siguiendo las medidas de seguridad recomendadas y manteniéndose al día de las últimas novedades, podrá mitigar los riesgos que plantean Balada Injector y otras amenazas a la ciberseguridad. La seguridad de su sitio web y la confianza de sus visitantes dependen de ello.

Las fuentes de este artículo incluyen artículos en The Hacker News y SC Media.

 

Resumen
El compromiso de Balada Injector WordPress
Nombre del artículo
El compromiso de Balada Injector WordPress
Descripción
Descubra el último compromiso de Balada Injector WordPress y aprenda a salvaguardar su sitio WordPress de Balada Injector. Manténgase alerta.
Autor
Nombre del editor
Cuidado del esmoquin
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín