Inyector Balada

Según los investigadores de seguridad, una campaña de ataque en curso que entrega malware rastreado como Balada Injector ha logrado infectar más de un millón de sitios web de WordPress. Se cree que la operación maliciosa ha estado activa desde al menos 2017. Los ciberdelincuentes utilizan una amplia gama de técnicas diferentes para explotar las vulnerabilidades conocidas y recientemente descubiertas en los temas y complementos de WordPress, lo que les permite acceder a los sitios web objetivo.

El informe que detalla el Balada Injector, publicado por la empresa de seguridad Sucuri, afirma que cada dos semanas se producen nuevas oleadas de ataques. Hay varias señales de firma de esta actividad maliciosa en particular, incluido el uso de la ofuscación String.fromCharCode, la implementación de scripts incorrectos en nombres de dominio recién registrados y redireccionamientos a varios sitios de estafa. Los sitios web infectados se utilizan para una variedad de propósitos fraudulentos, que incluyen soporte técnico falso, fraudes de lotería y páginas CAPTCHA maliciosas que instan a los usuarios a activar las notificaciones para verificar que no son robots, lo que permite a los atacantes enviar anuncios de spam.

El inyector Balada explota numerosas debilidades de seguridad

Durante el tiempo que estuvo implementada, la amenaza Balada Injector recurrió a la utilización de más de 100 dominios y varios métodos para explotar las debilidades de seguridad conocidas, como la inyección de HTML y la URL del sitio. El objetivo principal de los atacantes ha sido obtener acceso a las credenciales de la base de datos almacenadas en el archivo wp-config.php.

Además, los ataques están diseñados para acceder y descargar archivos importantes del sitio, como copias de seguridad, volcados de bases de datos, archivos de registro y archivos de error. También buscan herramientas sobrantes como adminer y phpmyadmin que los administradores del sitio pueden haber dejado atrás después de realizar tareas de mantenimiento. Esto proporciona a los atacantes una gama más amplia de opciones para comprometer el sitio web y robar datos confidenciales.

El inyector Balada proporciona acceso de puerta trasera a los ciberdelincuentes

El malware Balada Injector tiene la capacidad de generar usuarios administradores de WordPress fraudulentos, recopilar datos almacenados en los hosts subyacentes y dejar puertas traseras que brindan acceso persistente al sistema.

Además, Balada Injector realiza búsquedas exhaustivas en los directorios de nivel superior del sistema de archivos del sitio web comprometido para identificar directorios de escritura que pertenecen a otros sitios. Por lo general, estos sitios son propiedad del mismo webmaster y comparten la misma cuenta de servidor y permisos de archivo. Por lo tanto, comprometer un sitio puede potencialmente proporcionar acceso a muchos otros sitios, expandiendo aún más el ataque.

Si estos métodos fallan, la contraseña de administrador se adivina a la fuerza a través de un conjunto de 74 credenciales predeterminadas. Para evitar este tipo de ataques, se recomienda encarecidamente a los usuarios de WordPress que mantengan actualizado el software de su sitio web, eliminen los complementos y temas no utilizados y utilicen contraseñas seguras para sus cuentas de administrador de WordPress.