Più di 17.000 siti Web WordPress sono stati compromessi nel mese di settembre 2023 da un malware noto come Iniettore di ballatequasi il doppio del numero di rilevamenti di agosto.
Di questi, si dice che 9.000 siti web siano stati infiltrati utilizzando una falla di sicurezza recentemente rivelata nel plugin tagDiv Composer (CVE-2023-3169Punteggio CVSS: 6.1) potrebbe essere sfruttati da parte di utenti non autenticati per eseguire scripting cross-site memorizzati (XSS) attacca.
“Questa non è la prima volta che la banda di Balada Injector prende di mira le vulnerabilità nei temi premium di tagDiv”, ha affermato Denis Sinegubko, ricercatore di sicurezza di Sucuri. disse.
“Una delle prime massicce iniezioni di malware che potremmo attribuire a questa campagna ha avuto luogo durante l’estate del 2017, quando i bug di sicurezza divulgati nei temi WordPress di Newspaper e Newsmag sono stati attivamente abusati.”
Decifrare il codice: scopri come gli aggressori informatici sfruttano la psicologia umana
Vi siete mai chiesti perché l’ingegneria sociale è così efficace? Immergiti in profondità nella psicologia degli aggressori informatici nel nostro prossimo webinar.
Balada Injector è un’operazione su larga scala scoperto per primo da Doctor Web nel dicembre 2022, in cui gli autori delle minacce sfruttano una serie di difetti dei plugin di WordPress per implementare una backdoor Linux su sistemi vulnerabili.
IL Scopo principale dell’impianto è quello di indirizzare gli utenti dei siti compromessi a pagine di supporto tecnico fasulle, vincite fraudolente alla lotteria e truffe con notifiche push. Più di un milione di siti web sono stati colpiti dalla campagna dal 2017.
Gli attacchi che coinvolgono Balada Injector si manifestano sotto forma di ondate di attività ricorrenti che si verificano ogni due settimane, con un aumento delle infezioni rilevato il martedì successivo all’inizio di un’ondata durante il fine settimana.
L’ultima serie di violazioni prevede lo sfruttamento di CVE-2023-3169 per iniettare uno script dannoso e infine stabilire un accesso persistente ai siti caricando backdoor, aggiungendo plugin dannosi e creando amministratori di blog non autorizzati.
Storicamente, questi script hanno preso di mira gli amministratori dei siti WordPress che hanno effettuato l’accesso, poiché consentono all’avversario di eseguire azioni dannose con privilegi elevati tramite l’interfaccia di amministrazione, inclusa la creazione di nuovi utenti amministratori che possono utilizzare per attacchi successivi.
La natura in rapida evoluzione degli script è evidenziata dalla loro capacità di inserire una backdoor nei siti web 404 pagine di errore che sono in grado di eseguire codice PHP arbitrario o, in alternativa, sfruttare il codice incorporato nelle pagine per installare un plug-in wp-zexit dannoso in modo automatizzato.
Sucuri lo ha descritto come “uno dei tipi di attacco più complessi” eseguiti dallo script, dato che imita l’intero processo di installazione di un plugin da un file di archivio ZIP e di attivazione.
La funzionalità principale del plugin è la stessa della backdoor, ovvero eseguire il codice PHP inviato in remoto dagli autori delle minacce.
Le ondate di attacchi più recenti osservate alla fine di settembre 2023 comportano l’uso di iniezioni di codice randomizzato per scaricare e lanciare un malware di seconda fase da un server remoto per installare il plug-in wp-zexit.
Vengono utilizzati anche script offuscati che trasmettono i cookie del visitatore a un URL controllato dall’attore e recuperano in cambio un codice JavaScript non specificato.
“Il loro posizionamento nei file dei siti compromessi mostra chiaramente che questa volta, invece di utilizzare la vulnerabilità tagDiv Composer, gli aggressori hanno sfruttato le loro backdoor e utenti amministratori dannosi che erano stati impiantati dopo attacchi riusciti contro gli amministratori dei siti Web”, ha spiegato Sinegubko.