Balada Injector apunta a sitios web que usan WordPress
Según Sucuri de GoDaddy, una campaña masiva llamada Balada Injector ha infectado más de un millón de sitios web de WordPress con malware desde 2017. Los atacantes usan varios métodos y vulnerabilidades para violar los sitios de WordPress, incluidas las vulnerabilidades de temas y complementos. Los ataques ocurren en oleadas cada pocas semanas y son fácilmente identificables por el uso de la ofuscación String.fromCharCode, los nombres de dominio que alojan scripts maliciosos y los redireccionamientos a sitios fraudulentos.
El malware está diseñado para generar usuarios administradores de WordPress falsos, recopilar datos almacenados en los hosts y dejar puertas traseras para un acceso persistente. Los atacantes también buscan directorios grabables que pertenezcan a otros sitios asociados con el sistema de archivos del sitio web comprometido. Los ataques incluyen soporte técnico falso, premios de lotería fraudulentos y páginas CAPTCHA maliciosas que solicitan a los usuarios que activen las notificaciones para verificar que no son robots, lo que permite a los atacantes enviar anuncios no deseados.
Balada Injector se ha basado en más de 100 dominios y varios métodos, como la inyección de HTML y la URL del sitio, para explotar fallas de seguridad conocidas. Los atacantes buscan principalmente obtener las credenciales de la base de datos almacenadas en el archivo wp-config.php. El malware puede leer o descargar archivos de sitios arbitrarios, incluidas copias de seguridad, volcados de bases de datos, archivos de registro y errores, y buscar herramientas como adminer y phpmyadmin dejadas por los administradores del sitio.
Recientemente, la Unidad 42 de Palo Alto Networks descubrió una campaña de inyección de JavaScript maliciosa similar que redirige a los visitantes a adware y páginas engañosas. Más de 50.000 sitios web se han visto afectados desde 2022.
¿Cómo pueden los piratas informáticos comprometer páginas legítimas mediante la inyección de código?
Los piratas informáticos pueden comprometer páginas legítimas mediante la inyección de código al explotar las vulnerabilidades en el código o el software utilizado para crear el sitio web. Hay varios tipos de ataques de inyección de código, como inyección SQL, Cross-Site Scripting (XSS) e inclusión remota de archivos (RFI).
La inyección SQL consiste en insertar código SQL malicioso en la consulta de la base de datos de un sitio web, lo que puede permitir que un atacante eluda la autenticación, recupere información confidencial o modifique la base de datos.
XSS es un tipo de ataque de inyección que se dirige a los usuarios que visitan un sitio web, en lugar del sitio web en sí. Los atacantes inyectan scripts maliciosos en las páginas web que ven los usuarios, lo que les permite robar cookies de sesión, redirigir a los usuarios a sitios de phishing o robar credenciales de inicio de sesión.
RFI consiste en inyectar código malicioso en una página web mediante la explotación de una vulnerabilidad en el mecanismo de inclusión de archivos de una aplicación web. Esto permite que el atacante ejecute código remoto en el servidor, lo que puede conducir al control total del servidor web y la exposición de información confidencial.
Los piratas informáticos también pueden usar la inyección de código para insertar código malicioso en sitios web legítimos que pueden provocar la propagación de malware o intentos de phishing. Para evitar ataques de inyección de código, es importante mantener las aplicaciones web y los complementos actualizados, validar la entrada del usuario y utilizar prácticas de codificación seguras.
