Tecnología

  / martes 20 de agosto de 2024

CÓDIGO MALICIOSO: Sitios de WordPress en peligro

Cibercriminales explotan vulnerabilidad del CMS

Foto: Imagen ilustrativa Freepik

Jesús Urquidez / La Voz de la Frontera

Poco más de 20 mil sitios fueron afectados en el último semestre por el uso e instalación de plugins maliciosos que se distribuyen con malware, así lo informó la compañía líder de detección proactiva de amenazas ESET.

Según las detecciones en la telemetría observada por ESET advierte que los cibercriminales están atacando a miles de sitios web de WordPress aprovechando vulnerabilidades en plugins populares como PopUp Builder, que les permite tomar el control completo de los servidores.

La banda detrás de Balada Injector ha comprometido más de 20 mil sitios en los últimos meses, distribuyendo código Java maliciosos en distintas oleadas.

En el último semestre de 2023 se identificó un aumento de este tipo de ataques, y desde enero 2024, las detecciones de ESET tuvieron una subida considerable. El método de ataque es la explotación de vulnerabilidades presentes en el plugin PopUp Builder, usado para la creación de Pop ups de WordPress. La explotación de vulnerabilidades en plugins para WordPress es una de las formas de acceso inicial favoritas usadas por los atacantes detrás de Balada Injector.

¿QUE ES WORDPRESS?

WordPress es un sistema de gestión de contenidos web (CMS o content management system) gratuito, que en pocas palabras es un sistema para publicar contenido en la web de forma sencilla. Tan común es ya, que es el líder absoluto a nivel mundial para la creación de webs desde hace muchísimos años.

Es un software de código abierto (se puede tener acceso a todo el código) que además podemos tratar de mejorar dentro de su comunidad.

¿CÓMO PROTEGERSE?

Los operadores detrás de Balada Injector son conocidos por explotar vulnerabilidades de los complementos para WordPress, y tiene la habilidad de instalar múltiples mecanismos de persistencia.

Los scripts de Balada Injector pueden tomar el control completo del servidor web, por lo que una vez detectados es importante eliminar el complemento malicioso y actualizar todo complemento asociado a WordPress.

Por la habilidad que tiene para instalar mecanismos de persistencia se recomienda comprobar si existen cuentas de administrador maliciosas y archivos apócrifos en el servidor web. Cambiar las credenciales de acceso es una forma de prevenir cualquier intrusión no deseada y de preferencia activar la autentificación en dos pasos..

Indicadores del que el sitio está comprometido:

  • El sitio web está en la lista negra de Google, Bing, etcétera.
  • El host deshabilita el sitio.
  • La web es marcada por distribuir malware
  • Detección de comportamientos no autorizados, como usuarios nuevos desconocidos, por ejemplo.
  • El sitio se ve extraño

En caso de detectar actividad maliciosa, se recomienda las siguientes acciones:

  • Controlar los accesos y revocar aquellos que son dudosos
  • Documentar toda actividad sospechosa para tener un reporte de incidente
  • Escanear el sitio y su entorno
  • Una vez que se logra determinar que el sitio está limpio de la amenaza, cambiar las contraseñas y credenciales de acceso, recordando utilizar contraseñas robustas
  • Mantener la última versión actualizada de Wordpress

Poco más de 20 mil sitios fueron afectados en el último semestre por el uso e instalación de plugins maliciosos que se distribuyen con malware, así lo informó la compañía líder de detección proactiva de amenazas ESET.

Según las detecciones en la telemetría observada por ESET advierte que los cibercriminales están atacando a miles de sitios web de WordPress aprovechando vulnerabilidades en plugins populares como PopUp Builder, que les permite tomar el control completo de los servidores.

La banda detrás de Balada Injector ha comprometido más de 20 mil sitios en los últimos meses, distribuyendo código Java maliciosos en distintas oleadas.

En el último semestre de 2023 se identificó un aumento de este tipo de ataques, y desde enero 2024, las detecciones de ESET tuvieron una subida considerable. El método de ataque es la explotación de vulnerabilidades presentes en el plugin PopUp Builder, usado para la creación de Pop ups de WordPress. La explotación de vulnerabilidades en plugins para WordPress es una de las formas de acceso inicial favoritas usadas por los atacantes detrás de Balada Injector.

¿QUE ES WORDPRESS?

WordPress es un sistema de gestión de contenidos web (CMS o content management system) gratuito, que en pocas palabras es un sistema para publicar contenido en la web de forma sencilla. Tan común es ya, que es el líder absoluto a nivel mundial para la creación de webs desde hace muchísimos años.

Es un software de código abierto (se puede tener acceso a todo el código) que además podemos tratar de mejorar dentro de su comunidad.

¿CÓMO PROTEGERSE?

Los operadores detrás de Balada Injector son conocidos por explotar vulnerabilidades de los complementos para WordPress, y tiene la habilidad de instalar múltiples mecanismos de persistencia.

Los scripts de Balada Injector pueden tomar el control completo del servidor web, por lo que una vez detectados es importante eliminar el complemento malicioso y actualizar todo complemento asociado a WordPress.

Por la habilidad que tiene para instalar mecanismos de persistencia se recomienda comprobar si existen cuentas de administrador maliciosas y archivos apócrifos en el servidor web. Cambiar las credenciales de acceso es una forma de prevenir cualquier intrusión no deseada y de preferencia activar la autentificación en dos pasos..

Indicadores del que el sitio está comprometido:

  • El sitio web está en la lista negra de Google, Bing, etcétera.
  • El host deshabilita el sitio.
  • La web es marcada por distribuir malware
  • Detección de comportamientos no autorizados, como usuarios nuevos desconocidos, por ejemplo.
  • El sitio se ve extraño

En caso de detectar actividad maliciosa, se recomienda las siguientes acciones:

  • Controlar los accesos y revocar aquellos que son dudosos
  • Documentar toda actividad sospechosa para tener un reporte de incidente
  • Escanear el sitio y su entorno
  • Una vez que se logra determinar que el sitio está limpio de la amenaza, cambiar las contraseñas y credenciales de acceso, recordando utilizar contraseñas robustas
  • Mantener la última versión actualizada de Wordpress
Play Kiosko - La Voz de la Frontera | Noticias Locales, Policiacas, sobre México, Mexicali, Baja California y el Mundo

Másnoticias

Local

En el proyecto de Next Energy “no hay delito que perseguir”: Bonilla

Si no se hubiera cancelado, los mexicalenses estuvieran gozando de un precio barato de la energía y también del agua, señaló el ex mandatario estatal

Local

Llama CEDHBC al diálogo, ante manifestación en congreso del estado

La Comisión Estatal de los Derechos Humanos de Baja California pide además respetar la libre manifestación de las ideas

Local

INCENDIO EN TECATE: Reportan una extinción del 70% en Cerro Azul 2

Las llamas han consumido más de 5 mil hectáreas de vegetación

Local

Celebrarán Grito de Independencia 20 comunidades de Mexicali

Todos son gratuitos, excepto el de Palaco

Local

Irrumpen instalaciones del congreso de Baja California

Trabajadores del Poder Judicial de la Federación buscaban evitar la sesión extraordinaria para aprobar la reforma

Local

Incomunican a policias de Mexicali durante examen de confianza

Los reclutados permanecieron 30 horas sin comer ni comunicarse; denuncia fraternidad policíaca