Mais de 17.000 sites WordPress foram comprometidos no mês de setembro de 2023 com um malware conhecido como Balada Injector, quase o dobro do número de detecções em agosto.
Destes, 9.000 dos sites supostamente foram infiltrados usando uma falha de segurança recentemente divulgada no plugin tagDiv Composer (
CVE-2023-3169
, pontuação CVSS: 6.1) que poderia ser explorada por usuários não autenticados para realizar ataques armazenados de cross-site scripting (XSS).
"Essa não é a primeira vez que a gangue Balada Injector direciona vulnerabilidades nos temas premium da tagDiv", disse Denis Sinegubko, pesquisador de segurança da Sucuri.
"Uma das primeiras injeções massivas de malware que pudemos atribuir a essa campanha aconteceu durante o verão de 2017, onde bugs de segurança divulgados nos temas Newspaper e Newsmag WordPress foram ativamente abusados."
Balada Injector é uma operação em grande escala descoberta pela primeira vez pelo Doctor Web em dezembro de 2022, onde os atores da ameaça exploram uma variedade de falhas de plug-in WordPress para implantar um backdoor Linux em sistemas suscetíveis.
O principal objetivo do implante é direcionar os usuários dos sites comprometidos para páginas de suporte técnico falsas, vitórias fraudulentas na loteria e golpes de notificação por push.
Mais de um milhão de sites foram impactados pela campanha desde 2017.
Ataques envolvendo Balada Injector acontecem na forma de ondas de atividade recorrentes que ocorrem a cada duas semanas, com um aumento nas infecções detectadas nas terças-feiras após o início de uma onda durante o final de semana.
Os últimos casos de violações envolveram a exploração do
CVE-2023-3169
para injetar um script malicioso e, finalmente, estabelecer acesso persistente aos sites, carregando backdoors, adicionando plugins maliciosos e criando administradores de blog falsos.
Historicamente, esses scripts têm como alvo os administradores de sites WordPress logados, pois permitem que o adversário realize ações maliciosas com privilégios elevados por meio da interface de admin, incluindo a criação de novos usuários admin que podem usar para ataques subsequentes.
A natureza rapidamente evolutiva dos scripts é evidenciada pela sua capacidade de plantar um backdoor nas páginas de erro 404 dos sites que são capazes de executar código PHP arbitrário, ou, alternativamente, explorar código incorporado às páginas para instalar um plugin malicioso wp-zexit de forma automatizada.
A Sucuri descreveu isso como "um dos tipos mais complexos de ataques" realizados pelo script, dado que ele imita todo o processo de instalação de um plugin de um arquivo ZIP e a sua ativação.
A funcionalidade central do plugin é a mesma do backdoor, que é executar código PHP enviado remotamente pelos atores da ameaça.
Novas ondas de ataques observadas no final de setembro de 2023 envolvem o uso de injeções de código randomizadas para baixar e lançar um malware de segunda fase de um servidor remoto para instalar o plugin wp-zexit.
Também são usados scripts ofuscados que transmitem os cookies do visitante para um URL controlado pelo ator e buscam em retorno um código JavaScript não especificado.
"Sua colocação nos arquivos dos sites comprometidos claramente mostra que desta vez, em vez de usar a vulnerabilidade do tagDiv Composer, os atacantes aproveitaram seus backdoors e usuários de admin maliciosos que foram plantados após ataques bem-sucedidos contra administradores de sites", explicou Sinegubko.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...