Balada Injector: campagna malware infetta 6.700 siti WordPress
Una nuova campagna malware ha colpito migliaia di siti web WordPress con Badala Injector, sfruttando una vulnerabilità di Popup Builder.
Poco più di 6.700 siti web WordPress che utilizzano una versione vulnerabile del plugin Popup Builder sono stati infettati dal malware Balada Injector in una campagna lanciata a metà dicembre. Tale campagna è stata inizialmente documentata dal team della società di sicurezza Dr. Web. I ricercatori hanno infatti osservato ondate di attacchi coordinati che sfruttavano difetti noti nei temi e nei componenti aggiuntivi di WordPress. In seguito, è stato scoperto che Balada Injector era un'operazione di massa in corso dal 2017 che aveva compromesso più di 17.000 siti WordPress. Gli attacchi di questo malware iniettano una backdoor che reindirizza i visitatori di siti compromessi a pagine di supporto false, siti di lotterie e truffe di notifiche push.
Balada Injector: aggressori hanno puntato a diffondere truffe tramite notifiche push
L'ultima campagna Balada Injector è stata lanciata il 13 dicembre 2023, due giorni dopo che WPScan ha segnalato CVE-2023-6000, un difetto di cross-site scripting (XSS) nelle versioni Popup Builder 4.2.3 e precedenti. Popup Builder viene utilizzato su oltre 200.000 siti e serve a creare popup personalizzati per scopi di marketing, informativi e funzionali. La società di sicurezza dei siti web Sucuri riferisce che Balada Injector si è affrettato a incorporare un exploit per la falla, che ha dirottato “sgpbWillOpen” in Popup Builder ed eseguito codice JavaScript dannoso nel database del sito quando il popup è stato lanciato. Sucuri ha osservato che gli aggressori hanno utilizzato anche un metodo di infezione secondario modificando il file wp-blog-header.php per iniettare la stessa backdoor JavaScript. Successivamente, l'autore della minaccia ha controllato i cookie relativi all'amministrazione. Questi consentivano di caricare vari set di script per inserire la backdoor principale, camuffata da plug-in denominato “wp-felody.php”.
I ricercatori riferiscono che l’infezione non si ferma mai al primo passaggio e che l’installazione della backdoor principale segue sempre la violazione iniziale. Le funzionalità della backdoor “felody” includono l'esecuzione arbitraria di codice PHP, il caricamento e l'esecuzione di file, la comunicazione con gli aggressori e il recupero di payload aggiuntivi. Attualmente, Balada Injector sembra aver compromesso circa 6.700 siti WordPress. Secondo il ricercatore di sicurezza Randy McEoin, i reindirizzamenti in questa campagna puntano a truffe tramite notifiche push. Per difendersi dagli attacchi Balada Injection bisogna aggiornare temi e plugin alla versione più recente e disinstallare i prodotti non più supportati o necessari. Infine, mantenere su un sito WordPress il minor numero possibile di plugin attivi riduce la superficie di attacco. Inoltre, minimizza il rischio di violazioni da parte di script automatizzati.