Migliaia di siti WordPress che utilizzano una versione vulnerabile del plugin Popup Builder sono stati compromessi da un malware chiamato Balada Injector.
Prima di Balada Injector non era la prima volta che dei siti realizzati in WordPress venivano compromessi; purtroppo pur essendo (almeno in buona parte), Open Source, anche una piattaforma come WordPress è tutt’altro che invulnerabile ad attacchi, specie se questi utilizzano degli script particolari (JavaScript, in questo caso, che teoricamente è alla portati di pressoché chiunque).
Cosa sappiamo di Balada Injector e di come attacca i siti realizzati tramite WordPress
Documentato per la prima volta da Doctor Web nel gennaio 2023, la campagna si sviluppa in una serie di onde periodiche di attacchi, sfruttando le vulnerabilità di sicurezza dei plugin WordPress per iniettare backdoor progettate per reindirizzare i visitatori dei siti infetti a pagine di fittizi supporti tecnici, vincite fraudolente alla lotteria e truffe di notifiche push.
Successive scoperte effettuate da Sucuri hanno rivelato l’ampia portata dell’operazione, la quale secondo gli esperti sembra che sia attiva dal 2017 e abbia infiltrato non meno di 1 milione di siti da allora.
La società di sicurezza dei siti web di proprietà di GoDaddy, che ha rilevato l’ultima attività di Balada Injector il 13 dicembre 2023, ha dichiarato di aver identificato le iniezioni su oltre 7.100 siti.
Questi attacchi sfruttano una grave falla in Popup Builder (CVE-2023-6000, punteggio CVSS: 8.8), ovverosia un plugin con oltre 200.000 installazioni attive, che è stata resa pubblica da WPScan un giorno prima. Il problema è stato risolto nella versione 4.2.3.
“Quando sfruttata con successo, questa vulnerabilità potrebbe consentire agli attaccanti di eseguire qualsiasi azione consentita all’amministratore loggato che hanno preso di mira nel sito, incluso l’installare plugin arbitrari e creare nuovi utenti amministratori fraudolenti“, ha detto il ricercatore di WPScan Marc Montpas.
L’obiettivo finale della campagna è inserire un file JavaScript malevolo ospitato su specialcraftbox[.]com e utilizzarlo per prendere il controllo del sito web e caricare ulteriori JavaScript al fine di facilitare reindirizzamenti maligni.
Inoltre, gli attori minacciosi dietro Balada Injector sono noti per stabilire un controllo persistente sui siti compromessi caricando backdoor, aggiungendo plugin malevoli e creando amministratori di blog fraudolenti, e ciò viene spesso realizzato utilizzando iniezioni JavaScript per mirare specificamente agli amministratori di siti con accesso.
“L’idea è che quando un amministratore di un blog accede a un sito web, il suo browser contiene cookie che gli consentono di svolgere tutte le sue attività amministrative senza doversi autenticare su ogni nuova pagina“, ha dichiarato il ricercatore di Sucuri Denis Sinegubko l’anno scorso, aggiungendo: “Quindi, se il loro browser carica uno script che cerca di emulare l’attività amministrativa, sarà in grado di fare quasi tutto ciò che può essere fatto tramite l’interfaccia di amministrazione di WordPress.”
La nuova ondata non fa eccezione in quanto, se vengono rilevati cookie di amministrazione loggati, sfrutta i privilegi elevati per installare e attivare un plugin backdoor fraudolento (“wp-felody.php” o “Wp Felody”) al fine di recuperare un payload di secondo livello dal dominio menzionato in precedenza.
Il payload, un’altra backdoor, viene salvato con il nome “sasas” nella directory in cui sono memorizzati i file temporanei e viene quindi eseguito ed eliminato dal disco.
“Controlla fino a tre livelli sopra la directory corrente, cercando la directory principale del sito corrente e di eventuali altri siti che potrebbero condividere lo stesso account del server“, ha detto Sinegubko e ha concluso dicendo: “Quindi, nelle directory della radice del sito rilevato, modifica il file wp-blog-header.php per iniettare lo stesso malware JavaScript di Balada che è stato originariamente iniettato tramite la vulnerabilità di Popup Builder.”
