Plus de 17 000 sites Web WordPress ont été compromis au cours du mois de septembre 2023 par un malware connu sous le nom de Injecteur Baladasoit près de deux fois le nombre de détections en août.
Parmi ceux-ci, 9 000 sites Web auraient été infiltrés à l’aide d’une faille de sécurité récemment révélée dans le plugin tagDiv Composer (CVE-2023-3169, score CVSS : 6,1) qui pourrait être exploitée par des utilisateurs non authentifiés pour effectuer des scripts intersites stockés. (XSS).
« Ce n’est pas la première fois que le gang Balada Injector cible des vulnérabilités dans les thèmes premium de tagDiv », a déclaré Denis Sinegubko, chercheur en sécurité à Sucuri.
« L’une des premières injections massives de logiciels malveillants que nous puissions attribuer à cette campagne a eu lieu au cours de l’été 2017, où des bogues de sécurité révélés dans les thèmes WordPress des journaux et de Newsmag ont été activement exploités. »
Balada Injector est une opération à grande échelle découverte pour la première fois par Doctor Web en décembre 2022, dans laquelle les acteurs malveillants exploitent diverses failles du plugin WordPress pour déployer une porte dérobée Linux sur des systèmes sensibles.
L’objectif principal de l’implant est de diriger les utilisateurs des sites compromis vers de fausses pages d’assistance technique, des gains frauduleux à la loterie et des escroqueries par notifications push. Plus d’un million de sites Web ont été impactés par la campagne depuis 2017.
Les attaques impliquant Balada Injector se manifestent sous la forme de vagues d’activité récurrentes qui se produisent toutes les deux semaines, avec une recrudescence des infections détectée le mardi après le début d’une vague au cours du week-end.
La dernière série de violations implique l’exploitation de CVE-2023-3169 pour injecter un script malveillant et finalement établir un accès persistant sur les sites en téléchargeant des portes dérobées, en ajoutant des plugins malveillants et en créant des administrateurs de blog malveillants.
Historiquement, ces scripts ciblaient les administrateurs de sites WordPress connectés, car ils permettent à l’adversaire d’effectuer des actions malveillantes avec des privilèges élevés via l’interface d’administration, notamment la création de nouveaux utilisateurs administrateurs qu’ils peuvent utiliser pour des attaques ultérieures.
La nature évolutive rapide des scripts est mise en évidence par leur capacité à installer une porte dérobée dans les pages d’erreur 404 des sites Web, capable d’exécuter du code PHP arbitraire, ou, alternativement, à exploiter le code intégré dans les pages pour installer un plugin wp-zexit malveillant. de manière automatisée.
Sucuri l’a décrit comme « l’un des types d’attaques les plus complexes » effectués par le script, étant donné qu’il imite l’ensemble du processus d’installation d’un plugin à partir d’un fichier d’archive ZIP et de son activation.
La fonctionnalité principale du plugin est la même que celle de la porte dérobée, qui consiste à exécuter le code PHP envoyé à distance par les acteurs de la menace.
Les nouvelles vagues d’attaques observées fin septembre 2023 impliquent l’utilisation d’injections de code aléatoires pour télécharger et lancer un malware de deuxième étape à partir d’un serveur distant afin d’installer le plugin wp-zexit.
Des scripts obscurcis sont également utilisés qui transmettent les cookies du visiteur à une URL contrôlée par un acteur et récupèrent en retour un code JavaScript non spécifié.
« Leur placement dans les fichiers des sites compromis montre clairement que cette fois, au lieu d’utiliser la vulnérabilité tagDiv Composer, les attaquants ont exploité leurs portes dérobées et les utilisateurs administrateurs malveillants qui avaient été implantés après des attaques réussies contre les administrateurs de sites Web », a expliqué Sinegubko.
