Este malware se detectó por primera vez en 2017 y ha infectado a más de un millón de sitios que ejecutan WordPress. Esto es lo que necesita saber.
WordPress no es ajeno a los ciberataques y ahora ha sufrido otro exploit, a través del cual más de un millón de sitios han sido infectados. Esta campaña maliciosa se ha llevado a cabo utilizando un tipo de malware conocido como Balada Injector. Pero, ¿cómo funciona este malware y cómo logró infectar más de un millón de sitios de WordPress?
Los fundamentos del malware del inyector Balada
Inyector Balada (primero acuñado como en un Informe del Dr. Web) es un programa de malware que ha estado en uso desde 2017, cuando comenzó esta gran campaña de infección de WordPress. Balada Injector es un malware de puerta trasera basado en Linux que se utiliza para infiltrarse en sitios web.
Malware y virus de puerta trasera puede eludir los métodos típicos de inicio de sesión o autenticación, lo que permite al atacante acceder al lado del desarrollador de un sitio web. Desde aquí, el atacante puede realizar cambios no autorizados, robar datos valiosos e incluso cerrar el sitio por completo.
Las puertas traseras aprovechan las debilidades de los sitios web para obtener acceso no autorizado. Muchos sitios web tienen una o más debilidades (también conocidas como vulnerabilidades de seguridad), por lo que muchos piratas informáticos no tienen dificultades para encontrar una forma de entrar.
Entonces, ¿cómo lograron los ciberdelincuentes comprometer más de un millón de sitios de WordPress usando Balada Injector?
¿Cómo infectó Balada más de un millón de sitios de WordPress?
En abril de 2023, la firma de ciberseguridad Sucuri informó sobre una campaña maliciosa que había estado rastreando desde 2017. En el Publicación de blog de Sucuri, se afirmó que, en 2023, el escáner SiteCheck de la empresa detectó la presencia de Balada Injector más de 140.000 veces. Se descubrió que un sitio web había sido atacado 311 veces usando 11 variaciones diferentes de Balada Injector.
Sucuri también afirmó que tiene "más de 100 firmas que cubren las variaciones de front-end y back-end del malware inyectado en los archivos del servidor". y bases de datos de WordPress." La empresa notó que las infecciones de Balada Injector generalmente ocurren en oleadas, aumentando en frecuencia cada pocas semanas.
Para infectar tantos sitios de WordPress, Balada Injector apuntó específicamente a las vulnerabilidades dentro de los temas y complementos de la plataforma. WordPress ofrece miles de complementos para sus usuarios y una amplia gama de temas de interfaz, algunos de los cuales han sido atacados por otros piratas informáticos en el pasado.
Lo que es particularmente interesante aquí es que las vulnerabilidades a las que se dirige la campaña de Balada ya se conocen. Algunas de estas vulnerabilidades se reconocieron hace años, mientras que otras se descubrieron recientemente. El objetivo de Balada Injector es permanecer presente en el sitio infectado mucho después de que se implemente, incluso si el complemento que explota recibe una actualización.
En la publicación de blog antes mencionada, Sucuri enumeró una serie de métodos de infección utilizados para implementar Balada, que incluyen:
- Inyecciones de HTML.
- Inyecciones de base de datos.
- Inyecciones de SiteURL.
- Inyecciones de archivos arbitrarios.
Además de esto, Balada Injector usa String.fromCharCode como una ofuscación para que sea más difícil para los investigadores de seguridad cibernética detectarlo y detectar cualquier patrón dentro de la técnica de ataque.
Los piratas informáticos están infectando sitios de WordPress con Balada para redirigir a los usuarios a páginas fraudulentas, como loterías falsas, estafas de notificación y plataformas de informes técnicos falsos. Balada también puede filtrar información valiosa de las bases de datos del sitio infectado.
Cómo evitar los ataques del inyector Balada
Hay algunas prácticas que se pueden emplear para evitar Balada Injector, como:
- Actualizar regularmente el software del sitio web (incluidos temas y complementos).
- Realizar limpiezas periódicas del software.
- Activando Autenticación de dos factores.
- Usando contraseñas seguras.
- Limitación de los permisos de administrador del sitio.
- Implementación de sistemas de control de integridad de archivos.
- Mantener los archivos del entorno de desarrollo local separados de los archivos del servidor.
- Cambiar las contraseñas de la base de datos después de cualquier compromiso.
Tomar estos pasos puede ayudarlo a mantener su sitio web de WordPress a salvo de Balada. Sucuri también tiene un Guía de limpieza de WordPress que puede usar para mantener su sitio libre de malware.
El inyector Balada sigue suelto
En el momento de escribir este artículo, Balada Injector todavía está disponible e infecta sitios web. Hasta que este malware se detenga por completo, continúa representando un riesgo para los usuarios de WordPress. Si bien es impactante escuchar cuántos sitios ya están infectados, afortunadamente no está completamente indefenso contra las vulnerabilidades de puerta trasera y el malware como Balada que explota esos defectos.