Campagna Malware Balada Injector: Vulnerabilità Plugin Popup Builder Colpisce oltre 7.100 Siti WordPress

news haking

Campagna Malware Balada Injector: Vulnerabilità Plugin Popup Builder Colpisce oltre 7.100 Siti WordPress

L’articolo discute la recente campagna malware denominata Balada Injector, che ha colpito migliaia di siti WordPress sfruttando una vulnerabilità nel plugin Popup Builder. Questa minaccia, documentata per la prima volta da Doctor Web a gennaio 2023, opera attraverso onde periodiche di attacchi, sfruttando le vulnerabilità di sicurezza dei plugin WordPress per iniettare un backdoor mirato a reindirizzare i visitatori verso pagine di supporto tecnico fasulle, vincite di lotterie fraudolente e truffe con notifiche push.

Le ricerche condotte da Sucuri hanno rivelato che l’operazione di Balada Injector è attiva dal 2017, infiltrandosi in oltre 1 milione di siti. GoDaddy, attraverso la sua società di sicurezza dei siti web, ha individuato l’ultima attività di Balada Injector il 13 dicembre 2023, identificando le iniezioni su oltre 7.100 siti.

Gli attacchi sfruttano una grave falla nel plugin Popup Builder (CVE-2023-6000, punteggio CVSS: 8.8), con oltre 200.000 installazioni attive. Questa vulnerabilità, divulgata pubblicamente da WPScan un giorno prima dell’attacco, è stata risolta nella versione 4.2.3 del plugin.

Una volta sfruttata con successo, la vulnerabilità consente agli attaccanti di eseguire azioni amministrative sul sito di destinazione, inclusa l’installazione di plugin arbitrari e la creazione di nuovi utenti amministratori fraudolenti.

L’obiettivo principale della campagna è l’inserimento di un file JavaScript malevolo ospitato su specialcraftbox[.]com. Gli attaccanti utilizzano questo file per prendere il controllo del sito, caricando ulteriore JavaScript per facilitare reindirizzamenti malevoli.

Balada Injector è noto per stabilire un controllo persistente sui siti compromessi mediante l’upload di backdoor, l’aggiunta di plugin malevoli e la creazione di amministratori fraudolenti del blog. L’attacco sfrutta iniezioni di JavaScript mirate agli amministratori del sito con accesso.

La nuova ondata di attacchi, rilevata da Sucuri, sfrutta i cookie di amministrazione con accesso per installare e attivare un plugin backdoor fraudolento (“wp-felody.php” o “Wp Felody”), recuperando un payload di secondo livello dal dominio specialcraftbox[.]com.

Il payload, un’altra backdoor, viene salvato come “sasas” nella directory dei file temporanei, eseguito ed eliminato dal disco. L’attacco si propaga modificando il file wp-blog-header.php nelle directory radice dei siti rilevati, iniettando lo stesso malware JavaScript Balada originariamente inserito tramite la vulnerabilità di Popup Builder.

Fonte della notizia

Campagna Malware Balada Injector: Vulnerabilità Plugin Popup Builder Colpisce oltre 7.100 Siti WordPressultima modifica: 2024-01-16T06:05:15+01:00da puma1973a
Reposta per primo quest’articolo