Fecha de publicación: Lun, 10/04/2023 - 12:35

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

Investigaciones recientes estiman que más de un millón de sitios web de WordPress se han visto comprometidos durante una campaña de larga duración que explota "todas las vulnerabilidades de complementos y temas conocidas y descubiertas recientemente" para inyectar una puerta trasera que los investigadores llamaron Balad Injector.

La campaña se ha estado ejecutando desde 2017 y su objetivo principal es redirigir al visitante a páginas de soporte técnico falsas, premios de lotería fraudulentos y estafas de notificaciones automáticas.

Según la empresa de seguridad de sitios web  Sucuri , la campaña Balad Injector es la misma que informó Dr. Web en diciembre de 2022  para aprovechar fallas conocidas en varios complementos y temas para instalar una puerta trasera.

Sucuri informa que Balada Injector ataca en oleadas una vez al mes aproximadamente, cada una de las cuales usa un nombre de dominio recién registrado para evadir las listas de bloqueo.

Por lo general, el malware explota las vulnerabilidades recientemente reveladas y desarrolla rutinas de ataque personalizadas en torno a la falla a la que se dirige.

Los métodos de inyección observados por Sucuri todo este tiempo incluyen hacks de siteurl, inyecciones de HTML, inyecciones de bases de datos e inyecciones de archivos arbitrarios.

Los scripts de Balada se enfocan en filtrar información confidencial como las credenciales de la base de datos de los archivos wp-config.php, por lo que incluso si el propietario del sitio elimina una infección y parchea sus complementos, el atacante mantiene su acceso.

La campaña también busca copias de seguridad de archivos y bases de datos, registros de acceso, información de depuración y archivos que puedan contener información confidencial. Sucuri dice que el actor de amenazas actualiza con frecuencia la lista de archivos objetivo.

Además, el malware busca la presencia de herramientas de administración de bases de datos como Adminer y phpMyAdmin. Si estas herramientas son vulnerables o están mal configuradas, podrían usarse para crear nuevos usuarios administradores, extraer información del sitio o inyectar malware persistente en la base de datos.

Los atacantes también recurren a la fuerza bruta para obtener la contraseña de administrador probando un conjunto de 74 credenciales comúnmente usadas.

Recursos afectados

Los sitios web vulnerables a este ataque son:

  • Sitios WordPress que no cuenten con los últimos parches de seguridad o estén desactualizados.
  • Sitios WordPress que no cuenten con una contraseña segura.
  • Sitios WordPress que tengan plugins sin los parches de seguridad, que estén desactualizados. 

Indicadores de compromiso

Las Investigaciones evidencian que el malware se conecta con servidores de comando y control, de las cuales se tienen los siguientes indicadores de compromiso. 

URLs:

  • trackstatisticsss[.]com
  • accongestion[.]com
  • actraffic[.]com
  • admarketlocation[.]com
  • adsforbusines[.]com
  • adsformarket[.]com
  • adsrequestbest[.]com
  • adtrafficjam[.]com
  • backrocklondon[.]com
  • balanceformoon[.]com
  • balanceforsun[.]com
  • balantfromsun[.]com
  • becausenightisbetter[.]com
  • becauseshineisbetter[.]com
  • beforwardplay[.]com
  • belaterbewasthere[.]com
  • belazyelephant[.]com
  • belighterservice[.]com
  • bluelabelmoscow[.]com
  • bullgoesdown[.]com
  • buycongestion[.]com
  • buyittraffic[.]com
  • carlbendergogo[.]com
  • collectfasttracks[.]com
  • costsimpleplay[.]com
  • createrelativechanging[.]com
  • cuttraffic[.]com
  • dancewithlittleredpony[.]com
  • deliverblackjohn[.]com
  • denzzzelwashington[.]com
  • destinyfernandi[.]com
  • dexterfortune[.]com
  • donaldbackinsky[.]com
  • followmyfirst1[.]com
  • generallocationgo[.]com
  • giantttraffic[.]com
  • globallyreinvation[.]com
  • gotosecond2[.]com
  • greenlabelfrancisco[.]com
  • greenrelaxfollow[.]com
  • importtraffic[.]com
  • jockersunface[.]com
  • letsmakesomechoice[.]com
  • lightversionhotel[.]com
  • littleandbiggreenballlon[.]com
  • makesomethird3[.]com
  • primarylocationgo[.]com
  • privacylocationforloc[.]com
  • puttraffic[.]com
  • redfunchicken[.]com
  • redlabellondon[.]com
  • redrelaxfollow[.]com
  • requestfor4[.]com
  • resolutiondestin[.]com
  • speakwithjohns[.]com
  • specialthankselsa[.]com
  • startrafficc[.]com
  • stivenfernando[.]com
  • talktofranky[.]com
  • toupandgoforward[.]com
  • trafficlmedia[.]com
  • trasnaltemyrecords[.]com
  • traveltoscount[.]com
  • verybeatifulantony[.]com
  • wiilberedmodels[.]com
  • worldctraffic[.]com
  • yellowlabeltokyo[.]com
  • digestcolect[.]com

IPs:

  • 45[.]9[.]148.48:8349

Puertas traseras instaladas por Balada Injection:

  • Puede descargar el siguiente código en python para verificar si su sitio fue comprometido, examinando los archivos .php que Balada Injector instala en el servidor.

Recomendaciones

  • Mantener el software de su sitio web actualizado, eliminando complementos y temas no utilizados.
  • Utilizar contraseñas seguras.
  • Aplicar prácticas de seguridad recomendadas para sitios wordpress.
  • Revisar en archivos del sitio signos de infección en base a nombres de archivos de indicadores de compromiso.
  • Revisar en el firewall conexiones a servidores de comando y control en base a nombres de dominio e IP.
  • Monitorear a los usuarios administradores, debido a que Balada Injector crea usuarios administradores maliciosos.

Referencias

Balada injection: Campaña de malware que infecta sitios de WordPress