Una massiccia operazione di hacking, nota come Balada Injector, ha compromesso e infettato oltre 17.000 siti WordPress sfruttando vulnerabilità note nei plugin dei temi premium.
Dettagli dell’operazione
Balada Injector, scoperta per la prima volta nel dicembre 2022 da Dr. Web, ha sfruttato varie vulnerabilità nei plugin e nei temi di WordPress per iniettare un backdoor Linux. Questo backdoor reindirizza i visitatori dei siti compromessi verso pagine di supporto tecnico false, vittorie di lotterie fraudolente e truffe di notifiche push. L’operazione potrebbe quindi far parte di campagne di truffa o essere un servizio venduto ai truffatori.
Compromissione dei siti
Gli attaccanti sfruttano la vulnerabilità XSS (CVE-2023-3169) nel tagDiv Composer, uno strumento complementare per i temi Newspaper e Newsmag di WordPress. Questi temi premium, spesso utilizzati da piattaforme online di successo, sono stati acquistati da 137.000 e 18.500 utenti rispettivamente, rendendo il potenziale attacco su 155.500 siti, senza contare le copie piratate.
Modalità di attacco
Gli attacchi sono iniziati a metà settembre, poco dopo la divulgazione della vulnerabilità. Gli amministratori hanno segnalato che numerosi siti WordPress sono stati infettati da un plugin malevolo chiamato wp-zexit.php. Questo plugin ha permesso agli attaccanti di inviare codice PHP che sarebbe stato salvato nella cartella /tmp/i e successivamente eseguito. Gli attacchi hanno anche visto l’iniezione di codice nei template che avrebbe reindirizzato gli utenti a siti truffa sotto il controllo degli attaccanti.
Difesa e prevenzione
Per difendersi da Balada Injector, si consiglia di aggiornare il plugin tagDiv Composer alla versione 4.2 o successiva, che risolve la vulnerabilità menzionata. È inoltre fondamentale mantenere aggiornati tutti i temi e i plugin, rimuovere gli account utente inattivi e analizzare i file alla ricerca di backdoor nascoste. Lo scanner gratuito di Sucuri rileva la maggior parte delle varianti di Balada Injector, quindi potrebbe essere utile utilizzarlo per controllare l’installazione di WordPress alla ricerca di compromissioni.