Casi 7.000 webs basadas en WordPress son infectadas por el malware Balada Injector

Una vulnerabilidad en el complemento Popup Builder, usado por más de 200.000 sitios, ha propiciado la infección.

Alberto Payo

Periodista

Guardar

Aumentan las infecciones de puerta trasera en páginas web realizadas con Wordpress.
Aumentan las infecciones de puerta trasera en páginas web realizadas con Wordpress.

En una reciente campaña, más de 6.700 sitios web basados en WordPress que utilizaban una versión vulnerable del plugin Popup Builder habrían sido infectados por el malware Balada Injector. El ataque se inició a mediados de diciembre.

Una investigación inicial que llevaron a cabo expertos de Dr. Web reveló que los ataques coordinados aprovechaban vulnerabilidades conocidas en temas y complementos de WordPress. 

Sin embargo, posteriormente, se descubrió que Balada Injector era una operación masiva que esta activa desde 2017 y que ya había comprometido la friolera de más de 17.000 sitios de WordPress.

Estos ataques insertan una puerta trasera que redirige a los visitantes de las webs comprometidas a páginas de soporte falsas, sitios de lotería y estafas de notificaciones push, según recoge Bleeping Computer.

La última campaña de Balada Injector se lanzó el pasado 13 de diciembre, dos días después de que WPScan informara sobre CVE-2023-6000, una vulnerabilidad en la versión 4.2.3 y anteriores de Popup Builder. 

Se estima que este complemento, que sirve para crear popups personalizados con fines de marketing, informativos y funcionales, se ha instalado en más de 200.000 sitios web

Estuvieron rápidos

La compañía de seguridad en sitios web, Sucuri, informa que Balada Injector fue rápido en incorporar un exploit para la vulnerabilidad. Este exploit aprovechó el evento "sgpbWillOpen" en Popup Builder y ejecutó código JavaScript malicioso en la base de datos del sitio cuando se abría el popup.

Además, Sucuri pudo constatar que los atacantes también utilizaron un método de infección secundario al modificar el archivo wp-blog-header.php para inyectar la misma puerta trasera de JavaScript. La infección no se detiene el en primer paso y continúa con la instalación de la puerta trasera principal.

Según el investigador de seguridad Randy McEoin, las redirecciones en esta campaña apuntan a estafas de notificaciones push.

Consejos para protegerse

Los expertos recomiendan actualizar el complemento de WordPress a su versión más reciente, además de desinstalar addons que ya no cuenten con soporte o que no sean necesarios en el sitio.

Además, sugieren que mantener en un sitio WordPress el menor número posible de complementos activos reduce la superficie de ataque y minimiza el riesgo de brechas causadas por scripts automatizados.