Reportan ataque a WordPress que vulnera 20 mil sitios

Ciudad de México, Méx., 20 de agosto de 2024.- ESET reportó que hackers aprovechan fallas en plugins populares de WordPress, como PopUp Builder, para atacar miles de sitios web. 

La firma especialista en detección de amenazas aseguró que este plugin, comúnmente utilizado para crear ventanas emergentes, tiene vulnerabilidades que permiten a los atacantes tomar el control completo de los servidores.

La empresa informó que el grupo conocido como Balada Injector comprometió más de 20 mil sitios web en los últimos meses, distribuyendo códigos maliciosos en diferentes oleadas. Desde el inicio de 2024, los ataques incrementaron significativamente, según las detecciones de la firma en su último reporte ESET Threat. 

🚨 Cibercriminales están explotando una vulnerabilidad en el plugin PopUp Builder, afectando a más de 20,000 sitios web en los últimos meses.

El malware Balada Injector, detectado por ESET, utiliza JavaScripts maliciosos para comprometer los servidores. https://t.co/lN2rn750eO

— ESET Latinoamérica (@ESETLA) August 16, 2024

Un blanco atractivo

WordPress, la plataforma utilizada por más del 43% de los sitios web para gestionar contenido, es un objetivo principal para estos atacantes. Balada Injector, conocido por explotar vulnerabilidades en plugins, puede instalar mecanismos de persistencia en los sitios web afectados, lo que les permite mantener el control del servidor incluso después de haber sido detectados.

Ante esta situación, el ingeniero sénior de detección en ESET, Ján Adámek, advirtió que es crucial eliminar cualquier plugin comprometido y actualizar todos los plugins asociados a WordPress. Además, debido a la capacidad de Balada Injector para instalar mecanismos de persistencia, los especialistas recomendaron:

• Revisar si hay cuentas de administrador desconocidas o archivos sospechosos en tu servidor.
• Cambiar las credenciales de acceso regularmente para prevenir intrusiones no deseadas.

“Mantener los sistemas y aplicaciones actualizadas es una manera de contar con los parches y mejoras en seguridad que ofrece cada desarrollador. El software actualizado asegura el abordaje de problemas de seguridad que puedan descubrirse. En el caso de WordPress asegúrate de tener la última versión, que es la serie 6.6 y es la versión más segura de usar ya que se mantiene actualizada activamente”, comentó Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica.

Indicadores de compromiso

Si tu sitio web muestra síntomas como aparecer en listas negras de Google, Bing u otros motores de búsqueda, o si el host deshabilita tu sitio, podría estar comprometido. También es una señal de alerta si tu web está marcada como distribuidora de malware o si detectas comportamientos inusuales, como la aparición de usuarios desconocidos.

Otro indicio de compromiso puede ser una apariencia extraña o alterada del sitio web. Estos signos sugieren que tu sitio podría estar bajo ataque, y es importante actuar con rapidez para protegerlo y resolver cualquier problema de seguridad.

Cómo detectar actividad sospechosa:

• Controla los accesos y revoca aquellos que parezcan dudosos.
• Documenta toda actividad sospechosa para tener un reporte de incidente.
• Escanea el sitio y su entorno para identificar amenazas.
• Una vez que el sitio esté limpio, cambia las contraseñas y credenciales de acceso, utilizando contraseñas seguras.