Más de 6,700 sitios de WordPress con el complemento Popup Builder vulnerable han sido blanco del malware Balada Injector desde mediados de diciembre. Descubierto inicialmente por el equipo de Dr. Web, quienes notaron un aumento en los ataques aprovechando vulnerabilidades en temas y complementos de WordPress, Balada Injector se reveló como una operación extensa activa desde 2017, afectando a más de 17,000 sitios de WordPress.
Este malware introduce una puerta trasera que redirige a los visitantes de los sitios afectados hacia páginas de soporte falso, sitios de loterías y estafas mediante notificaciones push.
Podría interesarte leer: Balada Injector Compromete +17,000 Sitios WordPress
La más reciente ofensiva de Balada Injector arrancó el 13 de diciembre de 2023, apenas dos días después de que WPScan reportara la vulnerabilidad CVE-2023-6000. Esta falla, una secuencia de comandos entre sitios (XSS), afecta a las versiones 4.2.3 y anteriores del complemento Popup Builder, utilizado en unos 200.000 sitios para crear pop-ups personalizados con propósitos de marketing, informativos y funcionales.
Tras el reporte de esta vulnerabilidad, se detectó que Balada Injector implementó rápidamente un exploit para explotarla. El malware secuestraba el evento "sgpbWillOpen" en Popup Builder y ejecutaba código JavaScript malicioso en la base de datos del sitio en el momento de activación de la ventana emergente.
Código JavaScript dañino activado al abrir una ventana emergente
Se observó también que los atacantes emplearon un método secundario de infección. Modificaron el archivo wp-blog-header.php para inyectar la misma puerta trasera de JavaScript. Posteriormente, el actor de amenazas buscó cookies relacionadas con el administrador para cargar varios scripts e inyectar la puerta trasera principal, oculta bajo el nombre de complemento 'wp-felody.php'.
Los análisis muestran que la infección nunca se detiene tras el primer ataque; la instalación de la puerta trasera principal es un paso subsiguiente a la infracción inicial. La puerta trasera 'felody' permite ejecutar código PHP arbitrario, cargar y ejecutar archivos, comunicarse con los atacantes y descargar cargas útiles adicionales. Hasta la fecha, se estima que la campaña Balada Injector ha comprometido alrededor de 6.700 sitios web.
El examen de los dominios utilizados en estos ataques muestra un patrón en su registro, lo que sugiere un intento de ocultar el verdadero origen de los ataques, que incluye también el uso de firewalls de Cloudflare. Según el experto en seguridad Randy McEoin, las redirecciones en esta campaña conducen a estafas de notificaciones push automáticas.
Te podrá interesar: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
Proteger su sitio web de WordPress contra amenazas como Balada Injector es esencial. A continuación, te presentamos algunas recomendaciones clave:
Podría interesarte: Protegiendo tu Sitio Web: Seguridad en WordPress
Balada Injector es un recordatorio de la constante evolución de las amenazas de seguridad en línea. La protección de los sitios de WordPress requiere una vigilancia continua y la implementación de prácticas de seguridad sólidas. Mantener tu sitio actualizado, usar plugins de seguridad, realizar copias de seguridad regulares, utilizar contraseñas fuertes y monitorear constantemente son pasos cruciales para salvaguardar su presencia en línea.
La responsabilidad de proteger los sitios web no recae solo en los administradores, sino también en los desarrolladores de WordPress y los proveedores de plugins y temas. Trabajar juntos para fortalecer la seguridad de WordPress es esencial para construir un entorno digital más seguro.
Este ataque no solo es un llamado a la acción para los administradores de sitios web, sino también una oportunidad para educar y concientizar sobre la importancia de la seguridad en línea. Al comprender los riesgos y tomar medidas proactivas, podemos hacer de Internet un lugar más seguro para todos.