Connect with us

Sicurezza Informatica

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei plugin dei temi premium.

Published

on

Una massiccia operazione di hacking, nota come Balada Injector, ha compromesso e infettato oltre 17.000 siti WordPress sfruttando vulnerabilità note nei plugin dei temi premium.

Dettagli dell’operazione

Balada Injector, scoperta per la prima volta nel dicembre 2022 da Dr. Web, ha sfruttato varie vulnerabilità nei plugin e nei temi di WordPress per iniettare un backdoor Linux. Questo backdoor reindirizza i visitatori dei siti compromessi verso pagine di supporto tecnico false, vittorie di lotterie fraudolente e truffe di notifiche push. L’operazione potrebbe quindi far parte di campagne di truffa o essere un servizio venduto ai truffatori.

Compromissione dei siti

Gli attaccanti sfruttano la vulnerabilità XSS (CVE-2023-3169) nel tagDiv Composer, uno strumento complementare per i temi Newspaper e Newsmag di WordPress. Questi temi premium, spesso utilizzati da piattaforme online di successo, sono stati acquistati da 137.000 e 18.500 utenti rispettivamente, rendendo il potenziale attacco su 155.500 siti, senza contare le copie piratate.

Modalità di attacco

Gli attacchi sono iniziati a metà settembre, poco dopo la divulgazione della vulnerabilità. Gli amministratori hanno segnalato che numerosi siti WordPress sono stati infettati da un plugin malevolo chiamato wp-zexit.php. Questo plugin ha permesso agli attaccanti di inviare codice PHP che sarebbe stato salvato nella cartella /tmp/i e successivamente eseguito. Gli attacchi hanno anche visto l’iniezione di codice nei template che avrebbe reindirizzato gli utenti a siti truffa sotto il controllo degli attaccanti.

Difesa e prevenzione

Per difendersi da Balada Injector, si consiglia di aggiornare il plugin tagDiv Composer alla versione 4.2 o successiva, che risolve la vulnerabilità menzionata. È inoltre fondamentale mantenere aggiornati tutti i temi e i plugin, rimuovere gli account utente inattivi e analizzare i file alla ricerca di backdoor nascoste. Lo scanner gratuito di Sucuri rileva la maggior parte delle varianti di Balada Injector, quindi potrebbe essere utile utilizzarlo per controllare l’installazione di WordPress alla ricerca di compromissioni.