L’iniettore Balada malware è vivo e vegeto e sta compromettendo i siti Web WordPress scarsamente protetti su Internet, oltre a utilizzarli per indirizzare i visitatori, ha affermato una nuova ricerca.
UN rapporto dai ricercatori di Cybernews afferma di aver trovato un sito WordPress compromesso durante una “operazione di monitoraggio web di routine”.
Il sito Web compromesso è stato apparentemente preso di mira dal malware Balada Injector, una backdoor basata su Linux utilizzata per infiltrarsi nei siti Web attraverso vulnerabilità comuni o altrimenti note nei plugin, temi e vulnerabilità simili di WordPress. Il Balada Injector è noto per attaccare a “onde”: circa ogni mese, l’iniettore utilizza un nuovo nome di dominio e un nuovo codice, che tenta di aggiungere al codice del sito WordPress.
Ondate di attacchi
A questo particolare sito sono stati aggiunti e impilati uno sopra l’altro sette diversi casi di codice dannoso. Ciò significa che il sito web ha subito sette “ondate” di attacchi hacker. Questo codice, che veniva aggiunto nella parte superiore della pagina e veniva eseguito prima del caricamento del sito Web, aveva lo scopo di garantire agli aggressori l’accesso remoto alle macchine infette e reindirizzare i visitatori a diversi siti Web su cui erano attive campagne di malvertising.
Per saperne di più
> Il plugin WordPress espone mezzo milione di siti agli attacchi
> Come creare un sito web gratuitamente: una guida per creare un sito con un budget limitato
> Scopri i migliori firewall in circolazione
Quando i ricercatori hanno deoffuscato ed esaminato alcuni dei payload PHP trovati sul sito Web compromesso, hanno scoperto gli URL degli endpoint Command & Control (C2) appena generati e i successivi file JavaScript offuscati, utilizzati nello schema operativo. Secondo i ricercatori, è stato scoperto che si accedeva a un totale di cinque URL per caricare JavaScript dannoso su siti Web sfruttati.
La buona notizia per le potenziali vittime è che il Balada Injector non è ancora così avanzato come potrebbe essere. Non controlla se ai siti Web compromessi è stato aggiunto in precedenza codice dannoso e, per questo motivo, invece di fornire la pagina di destinazione, il sito Web ha forzato il download di un file PHP, cosa che ha fatto scattare allerte rosse ai ricercatori e, alla fine il giorno, ha contribuito a scoprire la campagna di hacking.