Miles de sitios web que generan su contenido a través de WordPress están en riesgo debido a las vulnerabilidades en plugins populares como PopUp Builder, que le permite a ciberdelincuentes tomar el control completo de los servidores.

Lo anterior fue advertido por ESET, compañía especializada en detección proactiva de amenazas que precisó que la banda detrás de Balada Injector ha comprometido más de 20,000 sitios web en los últimos meses, distribuyendo JavaScripts maliciosos en distintas oleadas.

Según el ESET Threat Report, en el último semestre de 2023 se identificó un aumento de este tipo de ataques, y desde enero 2024, las detecciones de ESET tuvieron una subida considerable.

Lo anterior es relevante considerando que WordPress es una herramienta usada por más de 43% de los sitios web para la creación de sitios web y gestión de contenidos, según un relevamiento de w3techs.com, por lo que, se ha convertido en un blanco predilecto de distintos actores de amenazas.

La firma de ciberseguridad alertó que los operadores detrás de Balada Injector son conocidos por explotar vulnerabilidades de los complementos para WordPress, y tiene la habilidad de instalar múltiples mecanismos de persistencia.

En ese sentido, Ján Adámek, ingeniero sénior de detección de ESET, detalló que los scripts de Balada Injector pueden tomar el control completo del servidor web, por lo que una vez detectados es importante eliminar el complemento malicioso y actualizar todo complemento asociado a WordPress.

Así, por la habilidad que tiene para instalar mecanismos de persistencia, la empresa recomendó comprobar si existen cuentas de administrador maliciosas y archivos apócrifos en el servidor web. Cambiar las credenciales de acceso es una forma de prevenir cualquier intrusión no deseada.

Indicadores de compromiso en WordPress

  • El sitio web está en la lista negra de Google, Bing, etcétera.
  • El host deshabilita el sitio.
  • La web es marcada por distribuir malware
  • Detección de comportamientos no autorizados, como usuarios nuevos desconocidos, por ejemplo.
  • El sitio se ve extraño

En caso de detectar actividad maliciosa, ESET comenta que las principales medidas a tomar son:

  • Controlar los accesos y revocar aquellos que son dudosos
  • Documentar toda actividad sospechosa para tener un reporte de incidente
  • Escanear el sitio y su entorno
  • Una vez que se logra determinar que el sitio está limpio de la amenaza, cambiar las contraseñas y credenciales de acceso, recordando utilizar contraseñas robustas

er