En una escalada alarmante de ciberataques, aproximadamente 7.000 sitios web basados en WordPress han sido comprometidos por el malware conocido como Balada Injector. Estos metodos de hackeo, que comenzaron a mediados de diciembre de 2023, han explotado una vulnerabilidad en el popular complemento Popup Builder, utilizado por más de 200.000 sitios web.
Desarrollo del ataque Balada Injector
Origen y alcance
La campaña de infección se lanzó el 13 de diciembre de 2023, aprovechando la vulnerabilidad identificada como CVE-2023-6000 en versiones 4.2.3 y anteriores de Popup Builder.
WPScan reportó esta vulnerabilidad dos días antes del inicio del ataque.
Naturaleza del malware
La operación Balada Injector lleva activa desde 2017 y ha afectado a más de 17.000 sitios de WordPress hasta la fecha.
Los atacantes han utilizado tanto la explotación directa de la vulnerabilidad en Popup Builder como la modificación del archivo wp-blog-header.php para inyectar el malware.
Consecuencias del ataque
Las webs infectadas redirigen a los visitantes a páginas de soporte falsas, sitios de lotería y estafas de notificaciones push, lo que se conocen como puertas traseras y redirecciones.
Análisis de expertos
Descubrimientos de Dr. Web y Sucuri
Dr. Web reveló que los ataques coordinados aprovechaban vulnerabilidades conocidas en temas y complementos de WordPress.
Sucuri informó que Balada Injector fue rápido en incorporar un exploit para la nueva vulnerabilidad, afectando a un gran número de sitios en poco tiempo.
Comentarios de expertos
Randy McEoin, investigador de seguridad, señala que las redirecciones en esta campaña apuntan principalmente a estafas de notificaciones push.
Consejos para la protección de sitios WordPress
Medidas inmediatas
Es crucial actualizar Popup Builder a su versión más reciente para cerrar la vulnerabilidad.
Desinstalar complementos sin soporte o no esenciales para reducir la superficie de ataque.
Estrategias a largo plazo
Mantener el menor número de complementos activos posibles para minimizar riesgos.
Vigilar constantemente las actualizaciones de seguridad y los reportes de vulnerabilidades.
Este reciente ataque subraya la importancia de mantener los sitios web actualizados y protegidos contra vulnerabilidades emergentes. En el mundo de la ciberseguridad, la prevención y la actualización constante son claves para salvaguardar la integridad de los sitios web y la confianza de sus usuarios.
Cloudsdefense, comprometida con la seguridad en la nube, continuará proporcionando actualizaciones y recursos para combatir estas amenazas emergentes en el ecosistema digital. Solicita tu auditoria seguridad web.
Preguntas frecuentes sobre el malware Balada Injector
¿Qué es el malware Balada Injector y cómo afecta a los sitios de WordPress?
El malware Balada Injector es un código malicioso que ha estado activo desde 2017. Afecta a sitios web basados en WordPress al explotar vulnerabilidades en complementos, especialmente en el Popup Builder. Una vez que un sitio está infectado, Balada Injector inserta puertas traseras y redirige a los visitantes a sitios de estafas o páginas de soporte falsas. La reciente campaña de infección comenzó en diciembre de 2023 y ha comprometido aproximadamente a 7.000 sitios hasta la fecha.
¿Cómo pueden los usuarios de WordPress proteger sus sitios contra este tipo de ataques?
Los usuarios de WordPress pueden tomar varias medidas para proteger sus sitios:
Actualización regular: Mantener los complementos, especialmente Popup Builder, actualizados a la última versión para asegurarse de que las vulnerabilidades conocidas estén parcheadas.
Minimización de complementos: Reducir la cantidad de complementos activos y eliminar aquellos que no sean necesarios o que no cuenten con soporte actualizado.
Vigilancia continua: Mantenerse informado sobre nuevas vulnerabilidades y amenazas, y aplicar medidas de seguridad recomendadas tan pronto como estén disponibles.
¿Qué servicios ofrece Cloudsdefense para ayudar a proteger contra malware como Balada Injector?
Cloudsdefense ofrece una gama de servicios diseñados para mejorar la seguridad de los sitios web y la infraestructura en la nube, incluyendo:
Monitoreo de seguridad: Servicios continuos de monitoreo de seguridad para detectar y alertar sobre posibles vulnerabilidades o ataques en tiempo real.
Consultoría de seguridad: Asesoramiento experto en seguridad cibernética para identificar y mitigar riesgos en sitios web y aplicaciones basadas en la nube.
Actualizaciones y recursos: Proporciona actualizaciones regulares sobre nuevas amenazas y vulnerabilidades, así como recursos para implementar prácticas de seguridad efectivas.
