Iniettore Balada

Secondo i ricercatori di sicurezza, una campagna di attacco in corso che fornisce malware tracciato come Balada Injector è riuscita a infettare oltre un milione di siti Web WordPress. Si ritiene che l'operazione dannosa sia attiva almeno dal 2017. I criminali informatici utilizzano un'ampia gamma di tecniche diverse per sfruttare vulnerabilità note e scoperte di recente nei temi e nei plug-in di WordPress, consentendo loro di ottenere l'accesso ai siti Web presi di mira.

Il rapporto che descrive in dettaglio il Balada Injector, rilasciato dalla società di sicurezza Sucuri, afferma che nuove ondate di attacchi si verificano ogni due settimane. Esistono diversi segni distintivi di questa particolare attività dannosa, incluso l'uso dell'offuscamento String.fromCharCode, la distribuzione di script errati su nomi di dominio appena registrati e reindirizzamenti a vari siti di truffa. I siti Web infetti vengono utilizzati per una varietà di scopi fraudolenti, tra cui supporto tecnico falso, frodi della lotteria e pagine CAPTCHA canaglia che invitano gli utenti ad attivare le notifiche per verificare che non siano robot, consentendo così agli aggressori di inviare annunci di spam.

L'iniettore Balada sfrutta numerose debolezze di sicurezza

Durante il tempo in cui è stata implementata, la minaccia Balada Injector ha fatto ricorso all'utilizzo di più di 100 domini e vari metodi per sfruttare noti punti deboli della sicurezza, come HTML injection e Site URL. L'obiettivo principale degli aggressori è stato quello di ottenere l'accesso alle credenziali del database memorizzate nel file wp-config.php.

Inoltre, gli attacchi sono progettati per accedere e scaricare file importanti del sito come backup, dump di database, file di registro e file di errore. Cercano anche eventuali strumenti rimanenti come adminer e phpmyadmin che gli amministratori del sito potrebbero aver lasciato dopo aver eseguito attività di manutenzione. Ciò fornisce agli aggressori una gamma più ampia di opzioni per compromettere il sito Web e rubare dati sensibili.

L'iniettore Balada fornisce l'accesso backdoor ai criminali informatici

Il malware Balada Injector ha la capacità di generare utenti amministratori di WordPress fraudolenti, raccogliere dati archiviati negli host sottostanti e lasciare backdoor che forniscono un accesso permanente al sistema.

Inoltre, Balada Injector esegue ricerche approfondite nelle directory di primo livello del file system del sito Web compromesso per identificare le directory scrivibili appartenenti ad altri siti. In genere, questi siti sono di proprietà dello stesso webmaster e condividono lo stesso account del server e le stesse autorizzazioni per i file. Pertanto, la compromissione di un sito può potenzialmente fornire l'accesso a più altri siti, espandendo ulteriormente l'attacco.

Se questi metodi falliscono, la password dell'amministratore viene forzatamente indovinata tramite un set di 74 credenziali predeterminate. Per prevenire questi tipi di attacchi, gli utenti di WordPress sono fortemente incoraggiati a mantenere aggiornato il software del proprio sito Web, rimuovere eventuali plug-in e temi inutilizzati e utilizzare password complesse per i propri account amministratore di WordPress.