Malware Balada Injector infecta mais de 7.100 sites WordPress

falha-xss-no-plugin-litespeed-cache-para-wordpress-coloca-sites-em-risco

O malware Balada Injector continua infectando milhares de sites WordPress. Ele infectou mais de 7.100 sites usando uma versão vulnerável do plugin Popup Builder. Em setembro, pesquisadores da Sucuri relataram que mais de 17.000 sites WordPress foram comprometidos em setembro com o Balada Injector.

Malware Balada Injector infecta milhares de sites WordPress

De acordo com as observações dos pesquisadores, o número de infecções por Balada Injector dobrou em comparação com agosto de 2023. O injetor Balada é uma família de malware ativa desde 2017. O malware oferece suporte a vários vetores de ataque e mecanismos de persistência. O código malicioso foi descoberto pela primeira vez em dezembro de 2022 pela empresa AV Doctor Web.

Doctor Web descobriu um programa Linux malicioso que hackeia sites baseados em um CMS WordPress. Ele explora 30 vulnerabilidades em vários plugins e temas para esta plataforma. Se os sites usarem versões desatualizadas de tais complementos, sem correções cruciais, as páginas direcionadas serão injetadas com JavaScripts maliciosos.

Como resultado, quando os usuários clicam em qualquer área de uma página atacada, eles são redirecionados para outros sites.

Dr. Web

Em setembro, a Sucuri relatou que os atores da ameaça tinham como alvo os temas premium vulneráveis ??do tagDiv. Os especialistas descobriram mais de 9.000 sites infectados com Balada Injector explorando vulnerabilidades no tema Jornal. Em 11 de dezembro de 2023, o WPScan publicou um relatório sobre a vulnerabilidade XSS armazenada no popular plugin Popup Builder (mais de 200.000 instalações ativas) que foi abordado na versão 4.2.3.

Os invasores podem explorar a vulnerabilidade para executar ações maliciosas em nome do administrador conectado que visam. Um invasor, por exemplo, pode criar um novo usuário Administrador não autorizado. A Sucurity informou que em 13 de dezembro, a campanha Balada Injector começou a infectar sites usando versões mais antigas do Popup Builder (CVE-2023-6000, pontuação CVSS 8,8).

Os atores da ameaça usaram um domínio specialcraftbox[.]com registrado recentemente (13 de dezembro). No momento em que este artigo foi escrito, o PublicWWW detectou a injeção em mais de 7.100 sites. Nos ataques monitorados pela Sucuri, a injeção é adicionada como um manipulador para o evento “sgpbWillOpen” que é acionado logo antes da abertura do pop-up sequestrado. Os administradores podem encontrá-lo (e removê-lo) em “JS ou CSS personalizado” da seção Popup Builder da interface de administração do WordPress.

Onda de ataques mais recente

Na recente onda de ataques, se os agentes de ameaças detectarem cookies de administrador logados, eles explorarão o problema para instalar e ativar um plugin backdoor não autorizado (“wp-felody.php” ou “Wp Felody”) e carregar uma carga útil de segundo estágio de specialcraftbox[.]com. A carga útil é um backdoor salvo no arquivo sasas no diretório temporário do sistema. Em seguida, o arquivo é executado e excluído do disco.

O arquivo sasas é responsável pela infecção secundária. Ele verifica até 3 níveis acima do diretório atual, procurando o diretório raiz do site atual e quaisquer outros sites que possam compartilhar a mesma conta de servidor.

Então, nos diretórios raiz do site detectado, ele modifica o arquivo wp-blog-header.php para injetar o mesmo malware Balada JavaScript que foi originalmente injetado por meio da vulnerabilidade do Popup Builder.

malware-balada-injector-infecta-mais-de-7-100-sites-wordpress
Imagem: Reprodução | Security Affairs