Mais de um milhão de sites WordPress são estimados terem sido infectados por uma campanha em andamento para implantar malware chamado Balada Injector desde 2017.
A campanha maciça, de acordo com a Sucuri da GoDaddy, "alavanca todas as vulnerabilidades conhecidas e recentemente descobertas de temas e plugins" para violar sites WordPress.
Os ataques são conhecidos por se desenrolarem em ondas a cada poucas semanas.
"Esta campanha é facilmente identificada por sua preferência por obfuscação String.fromCharCode, uso de nomes de domínios recém-registrados hospedando scripts maliciosos em subdomínios aleatórios e redirecionamentos para vários sites de golpes", disse o pesquisador de segurança Denis Sinegubko.
Os sites incluem suporte técnico falso, ganhos fraudulentos em loterias e páginas rogue CAPTCHA instando os usuários a ligar as notificações para 'Por favor, permita verificar que você não é um robô', permitindo assim que os atores enviem anúncios de spam.
O relatório baseia-se em descobertas recentes da Doctor Web, que detalhou uma família de malwares Linux que explora falhas em mais de duas dúzias de plugins e temas para comprometer sites WordPress vulneráveis.
Nos anos intermediários, o Balada Injector dependeu de mais de 100 domínios e uma infinidade de métodos para aproveitar as falhas de segurança conhecidas (por exemplo, injeção HTML e URL do site), com os atacantes tentando principalmente obter credenciais de banco de dados no arquivo wp-config.
Além disso, os ataques são projetados para ler ou fazer download de arquivos de site arbitrários - incluindo backups, despejos de banco de dados, arquivos de log e erro - além de procurar ferramentas como o adminer e o phpmyadmin que podem ter sido deixadas por administradores do site ao concluir tarefas de manutenção.
O malware permite a geração de usuários falsos de administrador do WordPress, coleta de dados armazenados nos hosts subjacentes e deixa backdoors para acesso persistente.
O Balada Injector realiza ainda amplas buscas a partir de diretórios de nível superior associados ao sistema de arquivos do site comprometido para localizar diretórios graváveis que pertencem a outros sites.
"Na maioria das vezes, esses sites pertencem ao webmaster do site comprometido e todos eles compartilham a mesma conta de servidor e as mesmas permissões de arquivo", disse Sinegubko.
"Dessa forma, comprometer apenas um site pode potencialmente conceder acesso a vários outros sites 'gratuitamente'."
Se essas vias de ataque se mostrarem indisponíveis, a senha do administrador é forçada usando um conjunto de 74 credenciais predefinidas.
Portanto, é recomendado que os usuários do WordPress mantenham o software do site atualizado, removam plugins e temas não utilizados e usem senhas fortes de administrador do WordPress.
As descobertas vêm semanas depois que a Palo Alto Networks Unit 42 descobriu uma campanha de injeção maliciosa de JavaScript semelhante que redireciona visitantes do site para adware e páginas de golpes.
Mais de 51.000 sites foram afetados desde 2022.
A atividade, que também emprega String.fromCharCode como técnica de obfuscação, leva as vítimas a páginas armadilhadas que as enganam para habilitar notificações push, fingindo ser uma verificação CAPTCHA falsa para servir conteúdo enganoso.
"O código JS malicioso injetado foi incluído na página inicial de mais da metade dos sites detectados", disseram os pesquisadores da Unit 42.
"Uma tática comum usada pelos operadores da campanha foi injetar código JS malicioso em nomes de arquivos JS frequentemente usados (por exemplo, jQuery) que provavelmente serão incluídos nas páginas iniciais dos sites comprometidos."
"Isto potencialmente ajuda os atacantes a atingir os usuários legítimos do site, já que eles são mais propensos a visitar a página inicial do site."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...