Cyberthreat.id – Più di 17.000 siti WordPress sono stati compromessi nel settembre 2023 con il malware noto come Ballad Injector, quasi il doppio del numero di rilevamenti nel mese di agosto.
Di questi, scrivi Le notizie sugli hackerSi ritiene che 9.000 siti Web siano stati compromessi utilizzando una falla di sicurezza recentemente rivelata nel plug-in tagDiv Composer (CVE-2023-3169, punteggio CVSS: 6,1) che potrebbe essere sfruttata da utenti non autenticati per eseguire attacchi cross-site scripting (XSS).
“Questa non è la prima volta che la banda di Balada Injector prende di mira le vulnerabilità nel tema premium tagDiv”, ha affermato Denis Sinegubko, ricercatore di sicurezza di Sucuri.
“Una delle prime massicce iniezioni di malware che possiamo attribuire a questa campagna si è verificata nell’estate del 2017, quando è stato scoperto un bug di sicurezza nel tema WordPress di Newspaper and News Magazine che veniva attivamente sfruttato.”
Le notizie sugli hacker Ballad Injector è un’operazione su larga scala scoperta per la prima volta da Doctor Web nel dicembre 2022, in cui i criminali informatici hanno sfruttato varie vulnerabilità dei plugin di WordPress per implementare backdoor Linux su sistemi vulnerabili.
L’obiettivo principale di questi impianti è reindirizzare gli utenti di siti compromessi a false pagine di supporto tecnico, false vincite alla lotteria e truffe con notifiche push. Dal 2017, più di un milione di siti web sono stati colpiti da questa campagna.
Gli attacchi che hanno coinvolto il Balada Injector si sono verificati sotto forma di ondate ricorrenti di attività che si verificano ogni poche settimane, con un picco di infezioni rilevato martedì dopo l’inizio dell’ondata nel fine settimana.
L’ultima serie di violazioni ha richiesto lo sfruttamento di CVE-2023-3169 per iniettare script dannosi e, infine, stabilire un accesso persistente ai siti caricando backdoor, aggiungendo plugin dannosi e creando amministratori di blog dannosi.
Storicamente, questo script prendeva di mira gli amministratori dei siti WordPress che avevano effettuato l’accesso, poiché consentiva agli avversari di eseguire azioni dannose con privilegi elevati attraverso l’interfaccia di amministrazione, inclusa la creazione di nuovi utenti amministratori che potevano utilizzare per attacchi avanzati.
La natura in rapida evoluzione dello script è evidenziata dalla sua capacità di installare una backdoor nella pagina di errore 404 di un sito Web in grado di eseguire codice PHP arbitrario o, in alternativa, di sfruttare il codice incorporato nella pagina per installare un plug-in wp-zexit dannoso. automaticamente.
Sucuri lo descrive come “uno dei tipi di attacco più complessi” effettuato tramite script, poiché imita l’intero processo di installazione di un plugin da un file di archivio ZIP e di attivazione.
La funzione principale del plugin è la stessa della backdoor, ovvero eseguire il codice PHP inviato in remoto dall’autore della minaccia.
Una nuova ondata di attacchi osservata alla fine di settembre 2023 ha richiesto l’uso di iniezioni di codice casuale per scaricare e lanciare malware di seconda fase da un server remoto per installare il plug-in wp-zexit.
Viene utilizzato anche uno script offuscato che invia il cookie di un visitatore a un URL controllato dall’attore e in cambio recupera il codice JavaScript non specificato.
“Il loro posizionamento nei file del sito compromesso mostra chiaramente che questa volta, invece di utilizzare la vulnerabilità tagDiv Composer, gli aggressori hanno sfruttato la loro backdoor e un utente amministratore dannoso che era stato installato dopo un attacco riuscito all’amministratore del sito Web”, ha spiegato Sinegubko. []