Migliaia di siti WordPress che utilizzano una versione vulnerabile del plugin Popup Builder sono stati compromessi da un malware chiamato Balada Injector. Documentato per la prima volta da Doctor Web nel gennaio 2023, la campagna si svolge in una serie di ondate di attacchi periodici, sfruttando le falle di sicurezza dei plugin WordPress per iniettare backdoor progettate per reindirizzare i visitatori dei siti infetti verso pagine di falso supporto tecnico, vincite fraudolente di lotterie e truffe tramite notifiche push.
Sucuri ha scoperto che l’operazione è attiva dal 2017 e ha infiltrato non meno di 1 milione di siti da allora. La società di sicurezza di siti web di GoDaddy, che ha rilevato l’ultima attività di Balada Injector il 13 dicembre 2023, ha identificato le iniezioni su oltre 7.100 siti.
Questi attacchi sfruttano una falla ad alta gravità in Popup Builder (CVE-2023-6000, punteggio CVSS: 8.8) – un plugin con più di 200.000 installazioni attive – che è stata resa pubblica da WPScan un giorno prima. La questione è stata risolta nella versione 4.2.3.
L’obiettivo finale della campagna è inserire un file JavaScript malevolo ospitato su specialcraftbox[.]com e usarlo per prendere il controllo del sito web e caricare ulteriori JavaScript per facilitare i reindirizzamenti malevoli.
Inoltre, gli attori della minaccia dietro a Balada Injector sono noti per stabilire un controllo persistente sui siti compromessi caricando backdoor, aggiungendo plugin malevoli e creando amministratori di blog fasulli. Questo è spesso realizzato utilizzando le iniezioni JavaScript per prendere di mira specificamente gli amministratori del sito connessi.
La nuova ondata non fa eccezione in quanto, se vengono rilevati cookie di amministratore connesso, sfrutta i privilegi elevati per installare e attivare un plugin backdoor fasullo (“wp-felody.php” o “Wp Felody”) al fine di recuperare un payload di seconda fase dal dominio menzionato.
Il payload, un’altra backdoor, viene salvato sotto il nome “sasas” nella directory dove vengono memorizzati i file temporanei, ed è quindi eseguito ed eliminato dal disco.