21.3 C
Madrid
sábado, junio 3, 2023
spot_img

Más de 1 millón de sitios de WordPress infectados por la campaña de malware Balada Injector

10 de abril de 2023Ravie LakshmanSeguridad web/malware

Se estima que más de un millón de sitios web de WordPress han sido infectados por una campaña en curso para entregar malware llamado inyector de balada desde 2017.

La campaña masiva, según Sucuri de GoDaddy, «explota todas las vulnerabilidades de complementos y temas conocidas y descubiertas recientemente» para violar los sitios de WordPress. Se sabe que los ataques vienen en oleadas cada pocas semanas.

«Esta campaña se reconoce fácilmente por su preferencia por la ofuscación de String.fromCharCode, el uso de nombres de dominio recién registrados que alojan scripts maliciosos en subdominios aleatorios y los redireccionamientos a varios sitios fraudulentos», dijo el investigador de seguridad Denis Sinegubko.

Los sitios web contienen soporte técnico falso, ganancias de lotería fraudulentas y páginas engañosas de CAPTCHA que solicitan a los usuarios que habiliten las notificaciones «Permita confirmar que no es un robot», lo que permite a los actores enviar anuncios de spam para enviar.

El informe se basa en los hallazgos recientes de Doctor Web, que detallan una familia de malware de Linux que explota fallas en más de dos docenas de complementos y temas para comprometer los sitios vulnerables de WordPress.

Mientras tanto, Balada Injector se ha basado en más de 100 dominios y una plétora de métodos para explotar las vulnerabilidades conocidas (por ejemplo, la inyección de HTML y la URL del sitio), y los atacantes intentan principalmente obtener las credenciales de la base de datos en el archivo wp-config. archivo php.

Además, los ataques están diseñados para leer o descargar archivos de sitios arbitrarios, incluidas copias de seguridad, volcados de bases de datos, archivos de registro y errores, y buscar herramientas como admin y phpmyadmin que los administradores del sitio dejan después de completar las tareas de mantenimiento.

WordPress

En última instancia, el malware permite la generación de usuarios administradores de WordPress falsos, recopila datos almacenados en los hosts subyacentes y deja puertas traseras para un acceso persistente.

Ballad Injector también realiza búsquedas exhaustivas de directorios de nivel superior asociados con el sistema de archivos del sitio web comprometido para ubicar directorios grabables que pertenecen a otros sitios web.

«La mayoría de las veces, estos sitios son propiedad del webmaster del sitio comprometido, y todos comparten la misma cuenta de servidor y permisos de archivo», dijo Sinegubko. «De esta manera, el compromiso de un solo sitio web puede potencialmente dar acceso a varios otros sitios web ‘gratis'».

En caso de que estos vectores de ataque no estén disponibles, la contraseña de administrador se aplica brutalmente utilizando un conjunto de 74 credenciales predefinidas. Por lo tanto, se recomienda a los usuarios de WordPress que mantengan actualizado el software de su sitio web, eliminen los complementos y temas no utilizados y utilicen contraseñas de administrador de WordPress seguras.

PRÓXIMO SEMINARIO WEB

Domina el arte de la recopilación de inteligencia de la Dark Web

Aprenda el arte de extraer inteligencia de amenazas de la web oscura: ¡únase a este seminario web dirigido por expertos!

¡Guarda mi lugar!

Los hallazgos se producen semanas después de que la Unidad 42 de Palo Alto Networks descubriera una campaña de inyección de JavaScript maliciosa similar que redirige a los visitantes del sitio web a sitios de adware y estafa. Más de 51.000 sitios web se han visto afectados desde 2022.

La actividad, que también emplea String.fromCharCode como técnica de ofuscación, lleva a las víctimas a páginas con trampas explosivas que las engañan para que habiliten las notificaciones automáticas haciéndose pasar por una verificación de CAPTCHA falsa para proporcionar contenido engañoso.

«El código JS malicioso inyectado estaba presente en la página de inicio de más de la mitad de los sitios web detectados», dijeron los investigadores de la Unidad 42 (por ejemplo, jQuery) que probablemente se incluirán en las páginas de inicio de los sitios web comprometidos.

«Esto ayuda potencialmente a los atacantes a apuntar a los usuarios legítimos del sitio, ya que es más probable que visiten la página de inicio del sitio».

¿Te pareció interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Artículos relacionados

Dejar respuesta

Please enter your comment!
Please enter your name here

- Anuncio -spot_img

Últimos artículos

3,798SeguidoresSeguir
0suscriptoresSuscribirte
GDPR Cookie Consent with Real Cookie Banner