Miles de sitios que ejecutan el sistema de gestión de contenidos WordPress han sido pirateados por un prolífico actor de amenazas que aprovechó una vulnerabilidad recientemente reparada en un complemento ampliamente utilizado.
El complemento vulnerable, conocido como tagDiv Composer, es un requisito obligatorio para utilizar dos temas de WordPress: Newspaper y Newsmag. Los temas están disponibles a través de los mercados Theme Forest y Envato y tienen más de 155.000 descargas.
Registrada como CVE-2023-3169, la vulnerabilidad es lo que se conoce como una falla de secuencias de comandos entre sitios (XSS) que permite a los piratas informáticos inyectar código malicioso en páginas web. Descubierta por el investigador vietnamita Truoc Phan, la vulnerabilidad tiene una clasificación de gravedad de 7,1 sobre 10 posible. Se solucionó parcialmente en la versión 4.1 de tagDiv Composer y se parchó completamente en la 4.2.
Según una publicación escrita por el investigador de seguridad Denis Sinegubko, los actores de amenazas están explotando la vulnerabilidad para inyectar scripts web que redirigen a los visitantes a varios sitios fraudulentos. Las redirecciones conducen a sitios que ofrecen soporte técnico falso, premios de lotería fraudulentos y estafas de notificaciones automáticas, las últimas de las cuales engañan a los visitantes para que se suscriban a notificaciones automáticas mostrando cuadros de diálogo captcha falsos.
Sucuri, la empresa de seguridad para la que trabaja Sinegubko, ha estado rastreando la campaña de malware desde 2017 y la ha llamado Balada. Sucuri estima que en los últimos seis años, Balada ha comprometido más de 1 millón de sitios. El mes pasado, Sucuri detectó inyecciones de Balada en más de 17.000 sitios, casi el doble que la empresa había visto el mes anterior. Más de 9.000 de las nuevas infecciones fueron el resultado de inyecciones posibles gracias a la explotación de CVE-2023-3169.
Sinegubko escribió:
Observamos un rápido ciclo de modificaciones a sus scripts inyectados junto con nuevas técnicas y enfoques. Vimos inyecciones aleatorias y tipos de ofuscación, uso simultáneo de múltiples dominios y subdominios, abuso de CloudFlare y múltiples enfoques para atacar a los administradores de sitios de WordPress infectados.
Septiembre también fue un mes muy desafiante para miles de usuarios del tema tagDiv Newspaper. La campaña de malware Balada Injector realizó una serie de ataques dirigidos tanto a la vulnerabilidad del complemento tagDiv Composer como a los administradores de blogs de sitios ya infectados.
Sucuri ha rastreado no menos de seis oleadas de inyecciones que aprovechan la vulnerabilidad. Si bien cada ola es distinta, todas contienen un script revelador inyectado dentro de estas etiquetas:
<style id="tdw-css-placeholder"></style><script>...malicious injection…</script><style></style>
La inyección maliciosa utiliza código ofuscado para dificultar su detección. Se puede encontrar en la base de datos utilizada por los sitios de WordPress, específicamente en la opción “td_live_css_local_storage” de la tabla wp_options.
El actor de amenazas Balada siempre ha intentado obtener un control persistente sobre los sitios web que compromete. La forma más común de hacerlo es inyectando scripts que crean cuentas con privilegios de administrador. Si los administradores reales detectan y eliminan los scripts de redireccionamiento pero permiten que permanezcan las cuentas de administrador falsas, el actor de la amenaza utiliza su control administrativo para agregar un nuevo conjunto de scripts de redireccionamiento maliciosos.
El investigador escribió:
Los piratas informáticos de Balada Injector siempre buscan un control persistente sobre los sitios comprometidos cargando puertas traseras, agregando complementos maliciosos y creando administradores de blogs fraudulentos. En este caso, el [CVE-2023-3169] la vulnerabilidad no les permite lograr fácilmente este objetivo. Sin embargo, esto nunca impidió que Balada intentara apoderarse por completo de los sitios con vulnerabilidades XSS almacenadas.
Balada es conocido desde hace mucho tiempo por inyectar scripts maliciosos dirigidos a administradores de sitios que han iniciado sesión. La idea es que cuando un administrador de blog inicia sesión en un sitio web, su navegador contiene cookies que le permiten realizar todas sus tareas administrativas sin tener que autenticarse en cada página nueva. Entonces, si su navegador carga un script que intenta emular la actividad del administrador, podrá hacer casi cualquier cosa que se pueda hacer a través de la interfaz de administración de WordPress.
Cualquiera que administre un sitio que utilice los temas de WordPress Newspaper o Newsmag debe inspeccionar cuidadosamente tanto su sitio como los registros de eventos en busca de signos de infección utilizando los numerosos indicadores de compromiso incluidos en la publicación de Sucuri. Como se mencionó, los actores de la amenaza Balada intentan obtener acceso persistente a los sitios que comprometen. Además de eliminar los scripts maliciosos agregados, también es importante verificar el código de puerta trasera y la adición de cuentas de administrador.