Campagne multiple Iniettore di ballate hanno violato e inquinato oltre 17.000 siti WordPress utilizzando le vulnerabilità nei plugin dei temi premium Giornale E Newsmag di tagDiv.
Balada Injector è un business enorme scoperto per la prima volta nel dicembre 2022 dal Dr. Web. Utilizza vari exploit per bug noti nei plugin e nei temi di WordPress con l’obiettivo di distribuire a Linux porta sul retro.
Questa backdoor reindirizza i visitatori dei siti infetti a pagine di supporto false (supporto tecnico), fregature con presunti guadagni e notifica push truffaS.
Nell’aprile 2023, Sucuri ha riferito che Balada Injector è attivo dal 2017 e che si stima abbia compromesso quasi un milione di siti WordPress.
Nuovi attacchi
Gli aggressori sfruttano la debolezza scripting cross-site (XSS) CVE-2023-3169 nel tagDiv Compositoreuno strumento complementare per i temi Newspaper e Newsmag di tagDiv per i siti WordPress.
Si dice che il Giornale ne abbia 137.000 saldi e Newsmag oltre 18.500. Pertanto, sono interessati complessivamente oltre 155.500 siti (escluse le copie illegali/pirata).
Guarda anche: Ransomware BlackCat: rivendicata la responsabilità dell’attacco ai tribunali della Florida
Giornale e Newsmag sono temi premium.
La campagna più recente mirata alla vulnerabilità CVE-2023-3169 è iniziata a settembre, poco dopo la divulgazione dei dettagli della vulnerabilità e il rilascio di un proof-of-concept (PoC). impresa).
Questi attacchi sono coerenti con una campagna individuata da BleepingComputer a settembre, quando gli amministratori hanno riferito su Reddit che molti siti Web WordPress sono stati infettati da un plug-in dannoso denominato wp-zexit.php. Il plug-in consentiva agli aggressori di inviare messaggi remoti Codice PHP in cui è stato memorizzato file /tmp/i ed era in esecuzione.
Inoltre, in questi attacchi il codice veniva incorporato in modelli e reindirizzava gli utenti a siti truffa.
“Siamo a conoscenza di questi casi. Il malware può colpire i siti Web che utilizzano versioni precedenti dei temi” ha spiegato tagDiv.
“Oltre ad aggiornare il tema, la raccomandazione è quella di installare subito un plugin sicurezzaCome il wordfenceed eseguire la scansione del sito. Inoltre, cambia tutte le password del sito“.
Secondo Sucuri diverse migliaia di siti web sono già stati compromessi.
Un segno rivelatore dello sfruttamento della vulnerabilità CVE-2023-3169 è uno script dannoso inserito in tag specifici, mentre l’iniezione offuscata stessa è nella tabella ‘wp_opzioni‘ del database del sito.
Guarda anche: Gli attacchi informatici alle “infrastrutture critiche” sono in aumento
Sucuri ha identificato sei distinte ondate di attacchi, che sono riassunte di seguito:
- Hacking di siti WordPress iniettando script dannosi da stay.decentralappps[.]com. Il bug ha consentito la diffusione di codice dannoso nelle pagine pubbliche. Oltre 5.000 siti sono stati interessati da due varianti (4.000 e 1.000).
- Utilizzando uno script dannoso per creare account amministratore falsi di WordPress. Inizialmente è stato utilizzato il nome utente “greeceman”, ma gli aggressori lo hanno modificato con nomi generati automaticamente in base al nome host del sito.
- Abusare dell’editor di temi WordPress per l’incorporamento backdoor nel file 404.php del tema. In questo modo si ottiene la persistenza.
- Gli aggressori hanno modificato l’installazione del plugin wp-zexit che imitava il comportamento di un amministratore di WordPress e nascondeva la backdoor nell’interfaccia Ajax del sito.
- L’introduzione di tre nuovi domini e una maggiore randomizzazione negli script, negli URL e nei codici inseriti rendono il rilevamento più difficile.
- Gli attacchi ora usano prommotion[.]sottodomini com invece di stay.decentralappps[.]com e restringere lo sviluppo a tre iniezioni specifiche trovate in 92, 76 e 67 siti.
Sucuri ha rilevato Balada Injector in oltre 17.000 WordPress siti nel settembre 2023. Più della metà delle infezioni (9.000) sfruttano la vulnerabilità CVE-2023-3169.
Per proteggersi da attacchi Iniettore di ballate, aggiorna il plugin tagDiv Composer alla versione 4.2 o successiva.
Inoltre, mantieni aggiornati tutti i tuoi temi e plug-in, rimuovi gli account utente inattivi e scansiona i tuoi file per potenziali backdoor nascosti.
Guarda anche: Formbook è il malware più diffuso
IL strumento di scansione gratuito di Sucuri rileva la maggior parte delle versioni di Balada Injector, quindi potresti volerlo utilizzare per vedere se il tuo sito è stato violato.
Misure di sicurezza di base per WordPress
- Versioni aggiornate: Mantieni aggiornati temi, plugin e la stessa piattaforma WordPress. Le versioni aggiornate di solito includono correzioni alle falle di sicurezza scoperte.
- Politica di password forte: utilizza password complesse accesso e cambiarli regolarmente. Più le password sono complesse e uniche, più difficile sarà per gli hacker ottenerle.
- Hosting sicuro: La scelta di un provider di hosting affidabile e sicuro è estremamente importante. Una buona scelta di hosting proteggerà il tuo sito dagli attacchi DDoS.
Non fidarti della sicurezza del tuo sito WordPress
Dovresti tenere presente che a volte è necessario un duro lavoro per proteggere il tuo sito, ma non lasciare che la paura ti travolga. Essere preparati e prendersi cura della sicurezza del tuo sito è solo una parte dell’essere un proprietario di un sito web di successo.
Fonte: www.bleepingcomputer.com