Oltre un milione di siti WordPress sono stimati essere stati infettati da una campagna in corso per diffondere un malware chiamato Balada Injector dal 2017.
Caratteristiche della campagna di attacco
La campagna, secondo quanto riferito da GoDaddy’s Sucuri, “sfrutta tutte le vulnerabilità note e recentemente scoperte dei temi e dei plugin” per violare i siti WordPress. Gli attacchi avvengono in ondate ogni poche settimane. La campagna è facilmente identificabile grazie all’uso dell’offuscamento tramite String.fromCharCode, all’utilizzo di nomi di dominio appena registrati che ospitano script dannosi su sottodomini casuali e ai reindirizzamenti verso vari siti truffa.
Tipi di siti web infetti
I siti web infetti includono finti servizi di assistenza tecnica, vincite di lotterie fraudolente e pagine CAPTCHA fasulle che invitano gli utenti a abilitare le notifiche per verificare che non siano robot, consentendo così agli attori dannosi di inviare pubblicità indesiderate.
Metodi di attacco utilizzati da Balada Injector
Nel corso degli anni, Balada Injector si è affidato a oltre 100 domini e a una miriade di metodi per sfruttare le vulnerabilità di sicurezza note (ad esempio, iniezione HTML e URL del sito), con gli aggressori che tentano principalmente di ottenere le credenziali del database nel file wp-config.php. Gli attacchi sono inoltre progettati per leggere o scaricare file arbitrari del sito, come backup, dump del database, file di registro e di errore, oltre a cercare strumenti come adminer e phpmyadmin che potrebbero essere stati lasciati dai responsabili del sito dopo aver completato compiti di manutenzione.
Conseguenze dell’infezione da malware
Il malware consente infine la generazione di falsi utenti amministratori di WordPress, raccoglie dati memorizzati negli host sottostanti e lascia backdoor per l’accesso persistente. Balada Injector esegue inoltre ricerche estese dalle directory di livello superiore associate al sistema di file del sito web compromesso per individuare directory scrivibili che appartengono ad altri siti.
Protezione dai futuri attacchi
Nel caso in cui questi percorsi di attacco si rivelino indisponibili, la password dell’amministratore viene forzata tramite un insieme di 74 credenziali predefinite. Gli utenti di WordPress sono quindi consigliati di mantenere aggiornato il software del sito web, rimuovere i plugin e i temi inutilizzati e utilizzare password forti per l’amministratore di WordPress.
Altre campagne di attacco simili
Le scoperte arrivano poche settimane dopo che Palo Alto Networks Unit 42 ha portato alla luce una campagna simile di iniezione di JavaScript dannoso che reindirizza i visitatori del sito verso pagine di adware e truffe. Più di 51.000 siti web sono stati colpiti dal 2022.
L’attività, che impiega anch’essa String.fromCharCode come tecnica di offuscamento, porta le vittime verso pagine insidiate che le ingannano per abilitare le notifiche push fingendo di essere un falso controllo CAPTCHA per servire contenuti ingannevoli.
L’impatto degli attacchi sui visitatori dei siti web
“Il codice JS dannoso iniettato era presente sulla homepage di oltre la metà dei siti web rilevati”, hanno affermato i ricercatori di Unit 42. “Una tattica comune utilizzata dagli operatori della campagna era iniettare il codice JS dannoso su nomi di file JS comunemente utilizzati (ad esempio, jQuery) che probabilmente sono inclusi nelle homepage dei siti web compromessi.”
Questo potrebbe aiutare gli aggressori a prendere di mira gli utenti legittimi del sito web, poiché è più probabile che visitino la homepage del sito.