Miles de sitios de WordPress han sido infectados por una campaña de malware desde 2017
Se estima que un millón de sitios web de WordPress se han visto comprometidos durante una campaña de larga duración que explota “todas las vulnerabilidades conocidas y descubiertas recientemente de plugins (complementos) y temas“. El ataque ha permitido inyectar una puerta trasera de Linux que los investigadores han bautizado como Balad Injector.
La campaña se ha estado ejecutando desde 2017 y su objetivo principal es redirigir a páginas de soporte técnico falsas, premios de lotería fraudulentos y estafas de notificaciones automáticas.
Según la empresa de seguridad de sitios web Sucuri, la campaña Balad Injector es la misma que reportó Dr. Web en diciembre de 2022. Esta consiste en aprovechar vulnerabilidades conocidas en varios complementos y temas para plantar una puerta trasera.
Campaña de larga duración
Sucuri reportó que Balada Injector ataca en oleadas una vez al mes aproximadamente, cada una de las cuales usa un nombre de dominio recién registrado para evadir las listas de bloqueo.
Por lo general, el malware explota las vulnerabilidades recientemente reveladas y desarrolla rutinas de ataque personalizadas en torno a la vulnerabilidad a la que se dirige.
Los métodos de inyección observados por Sucuri todo este tiempo incluyen hacks de siteurl, inyecciones de HTML, inyecciones de bases de datos e inyecciones de archivos arbitrarios.
Esta plétora de vectores de ataque también ha creado infecciones de sitios duplicados, con oleadas posteriores dirigidas a sitios ya comprometidos. Sucuri destaca un caso de un sitio que fue atacado 311 veces con 11 versiones distintas de Balada.
Actividad posterior a la infección
Los scripts de Balada se enfocan en filtrar información confidencial como las credenciales de la base de datos de los archivos wp-config.php
, por lo que incluso si el propietario del sitio elimina una infección y parchea sus complementos, el atacante mantiene su acceso.
La campaña también busca copias de seguridad de archivos y bases de datos, registros de acceso, información de depuración y archivos que puedan contener información confidencial. Sucuri dice que el atacante actualiza con frecuencia la lista de archivos objetivo.
Además, el malware busca la presencia de herramientas de administración de bases de datos como Adminer y phpMyAdmin. Si estas herramientas son vulnerables o están mal configuradas, podrían usarse para crear nuevos usuarios administradores, extraer información del sitio o inyectar malware persistente en la base de datos.
Si estas vías directas de infracción no están disponibles, los atacantes recurren a la fuerza bruta para obtener la contraseña de administrador. específicamente, prueban un conjunto de 74 credenciales.
Puertas traseras Balada
Balada Injector planta múltiples puertas traseras en sitios de WordPress comprometidos para redundancia, que actúan como puntos de acceso ocultos para los atacantes.
Sucuri informó que en algún momento de 2020, Balada estaba colocando puertas traseras en 176 rutas predefinidas.Esto hacía que la eliminación completa de la puerta trasera fuera un gran desafío.
Además, los nombres de las puertas traseras plantadas cambiaron en cada oleada de campaña para dificultar las detecciones y eliminaciones para los propietarios de sitios web.
Los investigadores dicen que los inyectores de Balada no están presentes en todos los sitios comprometidos, ya que un número tan grande de clientes sería un desafío difícil de administrar. Creen que los hackers cargaron el malware en sitios web “alojados en servidores privados privados o virtuales que muestran signos de no ser administrados o descuidados adecuadamente”.
A partir de ahí, los inyectores buscan sitios web que comparten la misma cuenta de servidor y permisos de archivo. Asimismo, buscan directorios en los que se pueda escribir, a partir de directorios con privilegios más altos, para realizar infecciones entre sitios.
“Por lo general, estos sitios pertenecen al webmaster del sitio comprometido y todos comparten la misma cuenta de servidor y los mismos permisos de archivo. De esta manera, comprometer solo un sitio puede potencialmente otorgar acceso a varios otros sitios ‘gratis'”.
Denis Sinegubko – Investigador de seguridad
Este enfoque permite que los atacantes comprometan fácilmente varios sitios a la vez y extiendan rápidamente sus puertas traseras mientras tienen que administrar una cantidad mínima de inyectores.
Sitios reinfectados
Además, las infecciones entre sitios permiten a los atacantes volver a infectar sitios limpios repetidamente, siempre que se mantenga el acceso al VPS.
Los hallazgos de esta investigación se producen semanas después de que la Unit 42 de Palo Alto Networks descubriera una campaña de inyección de JavaScript maliciosa similar. Esta campaña redirige a los visitantes del sitio a páginas fraudulentas y de adware. Más de 51,000 sitios web se han visto afectados desde el año 2022.
Sucuri señala que la defensa contra los ataques de Balada Injector puede diferir de un caso a otro. Es decir, no hay un conjunto específico de instrucciones que los administradores puedan seguir para mantener a raya la amenaza, debido a la amplia variedad de vectores de infección.
Sin embargo, las guías generales de limpieza de malware de WordPress de Sucuri deberían ser suficientes para bloquear la mayoría de los intentos.
Por ejemplo, mantener todo el software del sitio web actualizado y usar contraseñas seguras y únicas son algunas de las medidas. Asimismo, implementar la autenticación de dos factores y agregar sistemas de integridad de archivos debería ser suficiente como para proteger los sitios contra ataques.