Se estima que un millón de sitios web de WordPress se vieron comprometidos durante una campaña de larga duración que explotó «todas las vulnerabilidades de complementos y temas conocidas y descubiertas recientemente» para inyectar una puerta trasera de Linux que los investigadores denominaron Balad Injector.
La campaña se lleva a cabo desde 2017 y su objetivo principal es redirigir a páginas de soporte técnico falsas, ganancias de lotería fraudulentas y estafas de notificaciones automáticas.
Según la empresa de seguridad del sitio web Sucuri, la campaña Balad Injector es la misma que el Dr. Web informó en diciembre de 2022 que aprovechaba errores conocidos en múltiples complementos y temas para colocar una puerta trasera.
Campaña a largo plazo
Sucuri informa que Balada Injector ataca en oleadas que ocurren aproximadamente una vez al mes, cada una de las cuales utiliza un nombre de dominio recién registrado para eludir las listas negras.
Por lo general, el malware explota las vulnerabilidades recién descubiertas y desarrolla rutinas de ataque personalizadas en torno a la vulnerabilidad a la que se dirige.
Complementos dirigidos de una ola de infección específica (Sucurí)
Los métodos de inyección que Sucuri ha estado observando todo el tiempo incluyen hacks de siteurl, inyecciones de html, inyecciones de bases de datos e inyecciones de archivos arbitrarios.
Esta abundancia de vectores de ataque también ha resultado en infecciones de sitios duplicados, con oleadas posteriores dirigidas a sitios ya comprometidos. Sucuri destaca un caso de un sitio web que fue atacado 311 veces usando 11 versiones diferentes de Balada.
Inyección de balada típica (Sucurí)
actividad después de la infección
Los scripts de Balada se enfocan en filtrar información confidencial como las credenciales de la base de datos de los archivos wp-config.php, lo que permite que el actor de amenazas conserve el acceso incluso si el propietario del sitio limpia una infección y parchea sus complementos.
La campaña también intenta asegurar archivos y bases de datos, registros de acceso, información de depuración y archivos que pueden contener información confidencial. Según Sucuri, el atacante actualiza con frecuencia la lista de archivos de destino.
Además, el malware busca herramientas de administración de bases de datos como Adminer y phpMyAdmin. Si estas herramientas son vulnerables o están mal configuradas, podrían usarse para crear nuevos usuarios administradores, extraer información del sitio web o inyectar malware persistente en la base de datos.
Cuando estos vectores de ataque directo no están disponibles, los atacantes recurren a la fuerza bruta para forzar la contraseña de administrador probando un conjunto de 74 credenciales.
Puertas traseras de balada
Balada Injector coloca múltiples puertas traseras en sitios de WordPress comprometidos para redundancia, sirviendo como puntos de entrada ocultos para los atacantes.
Sucuri informa que en algún momento de 2020, Balada estaba moviendo las puertas traseras a 176 rutas predefinidas, lo que dificultaba la eliminación completa de la puerta trasera.
Extracto de la lista de rutas de puerta trasera (Sucurí)
Además, los nombres de las puertas traseras plantadas cambiaron en cada ola de campaña para dificultar la detección y eliminación para los propietarios de sitios web.
Los investigadores dicen que los inyectores Balada no están presentes en todos los sitios web comprometidos, ya que una gran cantidad de clientes representaría un desafío difícil. Creen que los piratas informáticos cargaron el malware en sitios web «alojados en servidores privados privados o virtuales que muestran signos de ser administrados incorrectamente o descuidados».
A partir de ahí, los inyectores buscan sitios web que comparten la misma cuenta de servidor y permisos de archivo y buscan directorios en los que se pueda escribir, comenzando con directorios con privilegios más altos para realizar infecciones entre sitios.
Este enfoque permite que los actores de amenazas comprometan varios sitios web a la vez y proliferen rápidamente sus puertas traseras mientras administran una cantidad mínima de inyectores.
Además, las infecciones entre sitios permiten a los atacantes volver a infectar repetidamente los sitios limpios siempre que se mantenga el acceso al VPS.
Sucuri señala que las defensas contra los ataques de Balada Injector pueden variar de un caso a otro y que, debido a la variedad de vectores de infección, no hay instrucciones específicas que los administradores puedan seguir para mantener a raya la amenaza.
Sin embargo, las guías generales de limpieza de malware de WordPress de Sucuri deberían ser suficientes para bloquear la mayoría de los intentos.
Mantener todo el software del sitio web actualizado, usar contraseñas seguras y únicas, implementar la autenticación de dos factores y agregar sistemas de integridad de archivos debería funcionar lo suficientemente bien como para proteger los sitios web contra riesgos.