En una reciente campaña, más de 6.700 sitios web basados en WordPress que utilizaban una versión vulnerable del plugin Popup Builder habrían sido infectados por el malware Balada Injector. El ataque se inició a mediados de diciembre.
Una investigación inicial que llevaron a cabo expertos de Dr. Web reveló que los ataques coordinados aprovechaban vulnerabilidades conocidas en temas y complementos de WordPress.
Sin embargo, posteriormente, se descubrió que Balada Injector era una operación masiva que esta activa desde 2017 y que ya había comprometido la friolera de más de 17.000 sitios de WordPress.
Estos ataques insertan una puerta trasera que redirige a los visitantes de las webs comprometidas a páginas de soporte falsas, sitios de lotería y estafas de notificaciones push, según recoge Bleeping Computer.
La última campaña de Balada Injector se lanzó el pasado 13 de diciembre, dos días después de que WPScan informara sobre CVE-2023-6000, una vulnerabilidad en la versión 4.2.3 y anteriores de Popup Builder.
Se estima que este complemento, que sirve para crear popups personalizados con fines de marketing, informativos y funcionales, se ha instalado en más de 200.000 sitios web.
Estuvieron rápidos
La compañía de seguridad en sitios web, Sucuri, informa que Balada Injector fue rápido en incorporar un exploit para la vulnerabilidad. Este exploit aprovechó el evento "sgpbWillOpen" en Popup Builder y ejecutó código JavaScript malicioso en la base de datos del sitio cuando se abría el popup.
Además, Sucuri pudo constatar que los atacantes también utilizaron un método de infección secundario al modificar el archivo wp-blog-header.php para inyectar la misma puerta trasera de JavaScript. La infección no se detiene el en primer paso y continúa con la instalación de la puerta trasera principal.
Según el investigador de seguridad Randy McEoin, las redirecciones en esta campaña apuntan a estafas de notificaciones push.
Consejos para protegerse
Los expertos recomiendan actualizar el complemento de WordPress a su versión más reciente, además de desinstalar addons que ya no cuenten con soporte o que no sean necesarios en el sitio.
Además, sugieren que mantener en un sitio WordPress el menor número posible de complementos activos reduce la superficie de ataque y minimiza el riesgo de brechas causadas por scripts automatizados.