XSS es un tipo de ataque en el que los actores maliciosos explotan fallas de seguridad en sitios web legítimos para insertar secuencias de código malicioso. Con ello, pueden recopilar datos personales, robar credenciales y 'cookies' o cambiar el diseño de la interfaz de un sitio.
tagDiv Composer, por su parte, es una herramienta que permite crear páginas de inicio de los temas de pago Newspaper y Newsmag de WordPress, que cuentan con un diseño modular y que se puede modificar en base a las necesidades de los usuarios. Ambos temas se pueden descargar a través de las bibliotecas de plantillas ThemeForest y EnvatoMarket.
Los actores de amenazas aprovecharon una falla registrada como CVE-2023-3169 por la base de datos nacional de vulnerabilidades del Gobierno estadounidense (NVD)- en tagDiv Composer que permitía a usuarios no autenticados realizar ataques XSS.
Esta vulnerabilidad, que se solucionó parcialmente con una actualización de tagDiv Composer (4.1) y completamente con la versión siguiente del parche (4.2), permitió inyectar 'scripts' web que redireccionaban a páginas fraudulentas.
Algunas de estas webs ofrecían soporte técnico ilegítimo y premios falsos, mientras que otras mostraban cuadros CAPTCHA falsos para suscribirse a notificaciones automáticas engañosas, tal y como recoge Arts Technica.
Desde tagDiv han indicado, no obstante, que el 'malware' puede afectar a sitios web que utilizan versiones de temas para WordPress anteriores y que no solo es conveniente actualizar la herramienta, sino también instalar complementos de seguridad como Wordfence y cambiar las contraseñas de acceso.
Este ataque forma parte de la campaña maliciosa Balada Injector, activa desde 2017 y de la que ya había informado previamente Dr.Web en diciembre de 2022. Entonces, este proveedor de antivirus señaló que se dirigía a sistemas Linux de 32 y 64 bits.
En abril de este año, en cambio, la también firma de seguridad Sucuri indicó que Balada Injector había comprometido casi un millón de sitios de WordPress en los seis últimos años y que atacaba una vez al mes empleando un dominio recién registrado para evadir las listas de bloqueo y evitar ser interceptado.
Esta firma también ha apuntado en una actualización que septiembre de 2023 «fue uno de los meses de mayor actividad» para este 'software' malicioso, debido a que detectó «varios tipos de Balada Injector» en más de 17.000 sitios web gracias a la herramienta SiteCheck. De ellas, más de 9.000 estaban relacionadas con la falla en la plantilla Newspaper.
Sucuri ha matizado que en este mes observó modificaciones en los 'scripts' maliciosos inyectados, nuevas técnicas y tipos de ofuscación y uso simultáneo de dominios y subdominios, entre otras estrategias de los ciberdelincuentes.
Sin comentarios
Para comentar es necesario estar registrado en Ultima Hora
De momento no hay comentarios.