Balada Injector infetta oltre 7.100 siti WordPress utilizzando la vulnerabilità del plugin
Migliaia di siti WordPress che utilizzano una versione vulnerabile del plugin Popup Builder sono stati compromessi da un malware chiamato Iniettore di ballate.
Primo documentato da Doctor Web nel gennaio 2023, la campagna si svolge in una serie di ondate di attacco periodiche, sfruttando le falle di sicurezza nei plugin WordPress per iniettare backdoor progettate per reindirizzare i visitatori di siti infetti a pagine di supporto tecnico fasulle, vincite fraudolente alla lotteria e truffe tramite notifiche push.
Successivo risultati portati alla luce da Sucuri hanno rivelato il portata massiccia dell’operazioneche si dice sia attivo dal 2017 e da allora si sia infiltrato in non meno di 1 milione di siti.
La società di sicurezza dei siti Web di proprietà di GoDaddy, che rilevato l'ultima attività di Balada Injector del 13 dicembre 2023, ha affermato di aver identificato le iniezioni oltre 7.100 siti.
Questi attacchi sfruttano un difetto di elevata gravità nel Popup Builder (CVE-2023-6000Punteggio CVSS: 8.8) – un plugin con più di 200.000 installazioni attive – che è stato divulgato pubblicamente da WPScan il giorno prima. Il problema è stato risolto nella versione 4.2.3.
“Se sfruttata con successo, questa vulnerabilità può consentire agli aggressori di eseguire qualsiasi azione consentita all'amministratore che ha effettuato l'accesso da loro preso di mira sul sito preso di mira, inclusa l'installazione di plug-in arbitrari e la creazione di nuovi utenti amministratori non autorizzati”, ha affermato il ricercatore di WPScan Marc Montpas. disse.
L'obiettivo finale della campagna è inserire un file JavaScript dannoso ospitato su specialcraftbox[.]com e utilizzarlo per assumere il controllo del sito Web e caricare JavaScript aggiuntivo per facilitare reindirizzamenti dannosi.
Inoltre, è noto che gli autori delle minacce dietro Balada Injector stabiliscono un controllo persistente sui siti compromessi caricando backdoor, aggiungendo plugin dannosi e creando amministratori di blog non autorizzati.
Ciò viene spesso ottenuto utilizzando le iniezioni JavaScript per rivolgersi specificamente agli amministratori del sito che hanno effettuato l'accesso.
“L'idea è che quando l'amministratore di un blog accede a un sito web, il suo browser contiene cookie che gli consentono di svolgere tutte le attività amministrative senza doversi autenticare su ogni nuova pagina”, ha osservato l'anno scorso il ricercatore di Sucuri Denis Sinegubko.
“Quindi, se il browser carica uno script che tenta di emulare l'attività dell'amministratore, sarà in grado di fare quasi tutto ciò che può essere fatto tramite l'interfaccia di amministrazione di WordPress.”
La nuova ondata non fa eccezione in quanto se vengono rilevati cookie di amministrazione che hanno effettuato l'accesso, utilizza i privilegi elevati per installare e attivare un plug-in backdoor non autorizzato (“wp-felody.php” o “Wp Felody”) in modo da recuperare un secondo -stage payload dal suddetto dominio.
Il payload, un'altra backdoor, viene salvato con il nome “sasas” nel file directory in cui sono archiviati i file temporaneie viene quindi eseguito ed eliminato dal disco.
“Controlla fino a tre livelli sopra la directory corrente, cercando la directory principale del sito corrente e qualsiasi altro sito che possa condividere lo stesso account del server”, ha detto Sinegubko.
“Quindi, nelle directory root del sito rilevate, modifica il file wp-blog-header.php per iniettare lo stesso malware JavaScript Balada originariamente iniettato tramite la vulnerabilità Popup Builder.”