Se estima que un millón de sitios web de WordPress han sido infectados en los últimos seis años en una campaña maliciosa de larga duración que los investigadores denominan «Balada Injector».
Según la empresa de seguridad de sitios web Sucuri, que opera como una unidad comercial separada dentro de GoDaddy, la campaña en curso utiliza «todas las vulnerabilidades de complementos y temas conocidas y descubiertas recientemente» para inyectar una puerta trasera de Linux en los sitios de WordPress. Este método permitía diferentes niveles de acceso y, en muchos casos, las vulnerabilidades explotadas permitían a un atacante obtener información vital sobre los sitios web comprometidos.
Desde 2017, la campaña se ha clasificado constantemente entre las 3 principales infecciones que Sucuri detecta y limpia de los sitios web afectados. La campaña inicia nuevas oleadas de ataques cada pocas semanas utilizando dominios recién registrados y variaciones de malware utilizado anteriormente. La última ola de ataques se vio hace solo unos días, cuando la campaña explotó una vulnerabilidad de alta gravedad en Elementor Pro de WordPress, un complemento utilizado por 11 millones de sitios web.
Denis Sinegubko, investigador principal de malware en GoDaddy, dijo que la campaña era fácilmente identificable por su preferencia por la ofuscación de String.fromCharCode, el uso de nombres de dominio recién registrados que alojan scripts maliciosos en subdominios aleatorios y redireccionamientos a varios sitios de estafa. El alcance y alcance de la actividad maliciosa
«Solo en 2022, nuestro escáner de sitios web de terceros, SiteCheck, detectó este malware más de 141 000 veces, con más del 67 % de los sitios web con recursos bloqueados cargando scripts de dominios inyectores balada conocidos», escribió Sinegubko a fines de la semana pasada. «Actualmente tenemos más de 100 firmas que cubren las variantes de front-end y back-end del malware inyectado en los archivos del servidor y las bases de datos de WordPress».
Los actores usan el tiempo entre las oleadas individuales para desarrollar nuevas rutinas de ataque, generalmente recopilando y probando nuevas vulnerabilidades. Cada ola utiliza un nuevo nombre de dominio recién registrado que combina palabras aleatorias en inglés, como B. a veces gratis[.]negocio y destinofernandi[.]com.
Solo en el último año, Balada Injector usó más de cien nombres de dominio diferentes y explotó una amplia gama de vectores de ataque, incluidos pirateos de URL del sitio, inyecciones de HTML, inyecciones de bases de datos e inyecciones de archivos arbitrarios, con ataques que a menudo involucran múltiples infecciones en el mismo sitio web. . . . En un ejemplo presentado por Sinegubko, Sucuri descubrió que una página (URLScan.io.cache) fue atacada 311 veces por 11 scripts maliciosos de Balada diferentes.
“A lo largo de este período, Balada Injector ha estado agregando rápidamente vulnerabilidades recién descubiertas (y, a veces, 0 días sin detectar), desencadenando ocasionalmente oleadas masivas de infecciones a las pocas horas del descubrimiento de la vulnerabilidad”, escribió Sinegubko.
«Las vulnerabilidades heredadas no se eliminaron inmediatamente después de las rondas iniciales de infección, y algunas de ellas permanecieron en uso mucho después de que se lanzaron los parches».
actividad después de la infección
Los scripts de Balada tienen como objetivo robar las credenciales de la base de datos en los archivos wp-config.php, algo que podría permitir el acceso continuo incluso si el propietario del sitio web corrige las vulnerabilidades explotadas previamente y elimina los archivos de puerta trasera. Para evitar ser detectados, los atacantes a menudo modificaban la lista de archivos de destino, agregando «elementos nuevos» y eliminando los «de bajo rendimiento».
«Si el sitio no está ya comprometido,[the attackers] Usa diferentes trucos para obtener el contenido de wp-config.php. Y si ya está comprometido, lo leen para guardar las credenciales para uso futuro», explicó Sinegubko.
Además, la campaña intenta obtener acceso a cualquier archivo del sitio, incluidos archivos de respaldo, bases de datos, registros de acceso, información de depuración mientras busca herramientas como Adminer y phpMyAdmin.
El malware eventualmente condujo a la generación de usuarios administradores falsos de WordPress que robaron datos de hosts subyacentes y dejaron puertas traseras para un mayor acceso.
