WordPress no es ajeno a los ciberataques y ahora ha sufrido otro exploit, infectando a más de un millón de sitios web. Esta campaña maliciosa se llevó a cabo utilizando un malware llamado Balada Injector. Pero, ¿cómo funciona este malware y cómo logró infectar más de un millón de sitios de WordPress?
Los fundamentos del malware Balada Injector
Balada Injector (nombrado así por primera vez en un informe de Dr.Web) es un programa de malware que se ha utilizado desde 2017, cuando comenzó esta gran campaña de infección de WordPress. Ballad Injector es un malware de puerta trasera basado en Linux que se utiliza para infiltrarse en sitios web.
El malware y los virus de puerta trasera pueden eludir los métodos típicos de inicio de sesión o autenticación, lo que permite al atacante acceder al lado del desarrollador de un sitio web. Desde aquí, el atacante puede realizar cambios no autorizados, robar datos valiosos e incluso cerrar el sitio web por completo.
Las puertas traseras aprovechan las vulnerabilidades de los sitios web para obtener acceso no autorizado. Muchos sitios web tienen una o más vulnerabilidades (también conocidas como vulnerabilidades), por lo que muchos piratas informáticos no tienen problemas para encontrar una forma de entrar.
Entonces, ¿cómo lograron los ciberdelincuentes comprometer más de un millón de sitios de WordPress usando Balada Injector?
¿Cómo infectó Ballad más de un millón de sitios de WordPress?
En abril de 2023, la empresa de ciberseguridad Sucuri informó sobre una campaña maliciosa que había estado rastreando desde 2017. La publicación del blog de Sucuri indicó que el escáner SiteCheck de la compañía había detectado la presencia de Balada Injector más de 140,000 veces en 2023. Se descubrió que un sitio web había sido atacado 311 veces usando 11 variantes diferentes de Balada Injector.
Sucuri también afirmó que tiene «más de 100 firmas que cubren las variaciones de malware tanto de front-end como de back-end inyectadas en los archivos del servidor y las bases de datos de WordPress». La compañía señaló que las infecciones del inyector Balada generalmente se presentan en oleadas, aumentando en frecuencia cada pocas semanas.
Para infectar tantos sitios de WordPress, Balada Injector apuntó específicamente a las vulnerabilidades en los temas y complementos de la plataforma. WordPress ofrece a sus usuarios miles de complementos y una amplia gama de temas de interfaz, algunos de los cuales han sido objetivo de otros piratas informáticos en el pasado.
Lo que es particularmente interesante aquí es que las vulnerabilidades a las que se dirige la campaña de Balada ya se conocen. Algunas de estas vulnerabilidades se descubrieron hace años, mientras que otras se descubrieron recientemente. Balada Injector tiene como objetivo permanecer presente en el sitio web infectado mucho después de su implementación, incluso si el complemento explotado recibe una actualización.
En la publicación del blog mencionada anteriormente, Sucuri enumeró una serie de métodos de infección utilizados para implementar Balada, que incluyen:
- Inyecciones de HTML.
- inyecciones de bases de datos.
- Inyecciones de SiteURL.
- Inyecciones de archivos arbitrarios.
Además, Ballad Injector usa String.fromCharCode como una ofuscación, lo que dificulta que los investigadores de ciberseguridad detecten y detecten patrones dentro de la técnica de ataque.
Los piratas informáticos infectan los sitios de WordPress con balada para redirigir a los usuarios a sitios fraudulentos como B. loterías falsas, estafas de notificación y plataformas de informes técnicos falsos. Ballad también puede filtrar información valiosa de las bases de datos del sitio infectado.
Cómo evitar los ataques de Ballad Injector
Hay algunas prácticas que se pueden emplear para evitar Ballad Injector, como:
- Actualizaciones periódicas del software del sitio web (incluidos temas y complementos).
- Realice limpiezas periódicas del software.
- Habilitación de la autenticación de dos factores.
- Uso de contraseñas seguras.
- Restringir los privilegios de administrador del sitio.
- Implementar sistemas de control de integridad de archivos.
- Mantenga los archivos del entorno de desarrollo local separados de los archivos del servidor.
- Cambiar las contraseñas de la base de datos después de una violación.
Al tomar estos pasos, puede proteger su sitio web de WordPress de Balada. Sucuri también tiene una guía de limpieza de WordPress que puede usar para mantener su sitio libre de malware.
Ballad Injector sigue prófugo
En el momento de escribir este artículo, Ballad Injector sigue infectando sitios web. Hasta que este malware se detenga por completo, seguirá representando un riesgo para los usuarios de WordPress. Afortunadamente, si bien es impactante escuchar cuántos sitios web ya están infectados, no está completamente indefenso frente a las vulnerabilidades de puerta trasera y malware como Balada que explota explota estas vulnerabilidades.