L’iniettore Balada malware è vivo e vegeto e compromette i siti Web WordPress scarsamente protetti su Internet, oltre a utilizzarli per indirizzare i visitatori, ha affermato una nuova ricerca.
UN rapporto dei ricercatori di Cybernews afferma di aver trovato un sito Web WordPress compromesso durante una “operazione di monitoraggio web di routine”.
Il sito Web compromesso è stato apparentemente preso di mira dal malware Balada Injector, una backdoor basata su Linux utilizzata per infiltrarsi nei siti Web attraverso vulnerabilità comuni o altrimenti note nei plug-in, temi e vulnerabilità simili di WordPress. Il Balada Injector è noto per gli attacchi a “ondate”: ogni mese circa, l’iniettore utilizzava un nuovo nome di dominio e un nuovo codice, che tentava di aggiungere al codice del sito WordPress.
Ondate di attacchi
Questo particolare sito ha avuto sette diverse istanze di codice dannoso aggiunte e impilate l’una sull’altra. Ciò significa che il sito Web ha subito sette “ondate” di attacchi di hacking. Questo codice, che è stato aggiunto nella parte superiore della pagina e sarebbe stato eseguito prima del caricamento del sito Web, aveva lo scopo di garantire agli aggressori l’accesso remoto alle macchine infette e reindirizzare i visitatori a diversi siti Web con campagne di malvertising in esecuzione.
Quando i ricercatori hanno deoffuscato ed esaminato alcuni dei payload PHP trovati sul sito Web compromesso, hanno scoperto gli URL degli endpoint Command & Control (C2) appena generati e i successivi file JavaScript offuscati, utilizzati nello schema operativo. È stato rilevato un totale di cinque URL a cui è stato effettuato l’accesso per caricare JavaScript dannoso su siti Web sfruttati, hanno affermato i ricercatori.
La buona notizia per le potenziali vittime è che l’iniettore Balada non è ancora così avanzato come potrebbe essere. Non controlla se i siti Web compromessi hanno già aggiunto codice dannoso e, per questo motivo, invece di servire la pagina di destinazione, il sito Web ha forzato il download di un file PHP, che ha sollevato segnali d’allarme con i ricercatori e, alla fine di il giorno, ha contribuito a scoprire la campagna di hacking.