Se estima que una campaña masiva conocida como Balada Injector ha infectado más de 1 millón de sitios de WordPress desde el 2017, esta aprovecha todas las vulnerabilidades de los plugins y temas conocidos para realizar ataques que se desarrollan masivamente.
El investigador de seguridad Denis Sinegubko menciona que “esta campaña se identifica fácilmente por su preferencia por la ofuscación de String. fromCharCode, el uso de nombres de dominio recién registrados que alojan scripts maliciosos en subdominios aleatorios y por los redireccionamientos a varios sitios fraudulentos que incluyen soporte técnico falso, premios de lotería fraudulentos y páginas de captcha falsas que piden a los usuarios verificar que no es un robot». Esto permite a los actores de amenazas enviar anuncios de spam.
Un informe reciente elaborado por Doctor Web detalla una familia de malware de Linux el cual explota fallas en más de 24 plugins y temas, utilizados para comprometer los sitios vulnerables de WordPress, entre los cuales tenemos:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Balada Injector se ha basado en más de 100 dominios y una gran cantidad métodos para aprovechar fallas de seguridad conocidas, como HTML inyection y Site URL, los atacantes intentan obtener las credenciales de la base de datos en el archivo wp-config.php.
Los ataques están diseñados para leer o descargar archivos de sitios arbitrario, incluyendo copias de seguridad, volcados de bases de datos, archivos de registros y errores, incluso buscar herramientas como adminer y phpmyadmin, donde los administradores del sitio web vulnerable podrían haber olvidado al completar las tareas de mantenimiento.
El malware permite la generación de usuarios administradores de WordPress falsos, recopila datos almacenados en los hosts subyacentes y deja puertas traseras para un acceso persistente.
Balada Injector también realiza búsquedas en directorios de alto nivel asociados con el sistema de archivos del sitio web vulnerado, de esta forma ubican directorios de escritura que pertenecen a otros sitios.
Por lo general, estos sitios pertenecen al webmaster del sitio vulnerado y comparten la misma cuenta de servidor y los mismos permisos de archivo, por lo que comprometer solo un sitio puede otorgar acceso a otros.
También se podría realizar ataques de fuerza bruta para obtener la contraseña de administrador, para esto utilizan un conjunto de 74 credenciales predefinidas.
Los hallazgos se producen semanas después de que la Unidad 42 de Palo Alto Networks descubriera una campaña de inyección de JavaScript malicioso, en el que se ha inyectado código malicioso en la página de inicio de más de la mitad de los sitios web comprometidos detectados.
Recomendaciones.
- Mantener actualizado el software de su sitio web.
- Eliminar los complementos y temas no utilizados.
- Utilizar contraseñas de administrador de WordPress seguras.
- Implementar la autenticación de dos factores
Referencias