Um pouco mais de 6.700 sites WordPress, que usam uma versão vulnerável do plugin Popup Builder, foram infectados com o malware Balada Injector em uma campanha iniciada em meados de dezembro.
Inicialmente documentado por pesquisadores da Dr. Web, que observaram ondas de ataques coordenados explorando falhas conhecidas em temas e complementos do WordPress, foi descoberto posteriormente que o Balada Injector era uma operação maciça em funcionamento desde 2017, que havia comprometido mais de 17.000 sites WordPress.
Os ataques injetam um backdoor que redireciona os visitantes dos sites comprometidos para páginas de suporte falsas, sites de loteria e golpes de notificação push.
A última campanha do Balada Injector foi lançada em 13 de dezembro de 2023, dois dias após o WPScan ter informado sobre a falha
CVE-2023-6000
, uma vulnerabilidade de cross-site scripting (XSS) nas versões do Popup Builder 4.2.3 e anteriores.
O Popup Builder está sendo usado em 200.000 sites para construir pop-ups personalizados para propósitos de marketing, informativo e funcional.
A empresa de segurança de sites Sucuri informa que o Balada Injector foi rápido para incorporar um exploit para a falha, que sequestrou o evento "sgpbWillOpen" no Popup Builder e executou código JavaScript malicioso no banco de dados do site quando o pop-up foi lançado.
A Sucuri observou também que os atacantes usaram um método secundário de infecção ao modificar o arquivo wp-blog-header.php para injetar o mesmo backdoor JavaScript.
Em seguida, o autor da ameaça verifica os cookies relacionados à administração que permitem a eles carregar vários conjuntos de script para injetar o backdoor principal, disfarçado como um plugin chamado 'wp-felody.php.'
Os pesquisadores relatam que a infecção nunca para no primeiro passo, e a plantação do backdoor principal sempre segue a violação inicial.
A funcionalidade do backdoor 'felody' inclui execução de código PHP arbitrário, carregamento e execução de arquivos, comunicação com os atacantes e obtenção de payloads adicionais.
Atualmente, o número de sites comprometidos na campanha Balada Injector alcançou 6.700.
A análise da Sucuri dos domínios usados para esses ataques revela um padrão em seu registro, o que indica um esforço para ocultar a verdadeira origem dos ataques que também envolve o uso de firewalls da Cloudflare.
De acordo com o pesquisador de segurança Randy McEoin, os redirecionamentos nesta campanha apontam para golpes de notificação push.
A defesa contra os ataques do Balada Injection requer que os administradores do site WordPress atualizem os temas e plugins para a versão mais recente, desinstalem produtos que não são mais suportados ou necessários no site.
Manter no site WordPress um número tão pequeno quanto possível de plugins ativos reduz a superfície de ataque e minimiza o risco de violações por scripts automatizados.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...