ClickCease Balada Injector Malware kompromittiert mehr als 7.000 WordPress-Seiten

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Balada Injector Malware kompromittiert mehr als 7.000 WordPress-Seiten

Wajahat Raja

Januar 30, 2024 - TuxCare-Expertenteam

Bedrohungsakteure haben kürzlich die Balada-Injektor-Malware verwendet, um eine Plugin-Schwachstelle auszunutzen, was zur Kompromittierung von mehr als 7.000 WordPress-Websites führte. Jüngste Berichte haben Licht ins Dunkel der WordPress-Balada-Injektor-Infektionen gebracht. Demnach wurden die Angriffe erstmals im Dezember 2022 dokumentiert. Während des Angriffs wurde eine verwundbare Version des Popup Builder-Plugin ausgenutzt.

In diesem Artikel befassen wir uns mit allen Details der Balada-Injektor-Malware Angriffs und sehen, wie er abläuft.

Die Balada Injector Malware-Familie 

Ein Verständnis der Ursprünge des Balada-Injektor-Malware ist wichtig, bevor man sich mit den Feinheiten des Angriffs befasst. Die Malware-Familie ist seit seit 2017 aktiv und unterstützt mehrere Angriffsanbieter und Persistenzmechanismen, um die Umsetzung bösartiger Absichten zu gewährleisten.

Es ist erwähnenswert, dass der bösartige Code ursprünglich Ende Dezember letzten Jahres entdeckt wurde. A Bericht von Doctor Web über Balada Ausnutzung der WordPress-Plugin-Schwachstelle heißt es, dass ein bösartiges Programm in der Lage ist, Websites zu hacken, die auf dem WordPress Content Management System (CMS) basieren, indem es mehrere Plugins und Themes ausnutzt.

Frühere Angriffe mit dem Balada-Injektor Malware wurden im September letzten Jahres über 17.000 Websites angegriffen. Die Zahl der kompromittierten Websites war in diesem Zeitraum mehr als doppelt so hoch wie im Vormonat. Bei diesen Angriffen wurde eine Sicherheitslücke im Zusammenhang mit den Premium-Themen von tagDiv ausgenutzt.

Balada Injector Malware und das Popup Builder Plugin 

Der Bericht von Doctor Web gibt weitere Einblicke in die Angriffsmethodik und stellt fest, dass Websites, die veraltete Versionen von Plugins und Themes verwenden, gefährdet sind. In solchen Versionen fehlen wichtige Korrekturen, die es den Angreifern ermöglichen, die Zielseiten mit bösartigem JavaScript-Code zu infiltrieren. 

Sobald der Code eingeschleust wurde, werden Nutzer, die auf einen beliebigen Bereich der angegriffenen Seite klicken, auf andere Websites umgeleitet. Soweit das Popup-Builder-Pluginkönnen Hacker die Schwachstelle ausnutzen, um bösartige Aktionen im Namen von angemeldeten Benutzern mit Administratorrechten durchzuführen.

Was macht die Balada-Injektor-Malware noch bedrohlicher macht, ist, dass die ausgenutzte Schwachstelle sogar dazu verwendet werden kann, einen neuen bösartigen Administrator-Benutzer zu erstellen. Die Schwachstelle wurde als CVE-2023-6000 identifiziert und mit einem Schweregrad von 8,8 bewertet.

Entschlüsselung der Angriffe auf das Popup Builder Plugin 

Bevor wir in die Details des Angriffs eintauchen, ist es erwähnenswert, dass das Popup Builder-Plugin über 200.000 aktive Installationen hat. Eine solch hohe Nutzung verstärkt die Balada-Injektor-Malware Bedrohung. Bei einer jüngsten Angriffswelle wurde beobachtet, dass die Bedrohungsakteure in der Lage sind, eingeloggte Admin-Cookies zu erkennen.

Sobald sie entdeckt werden, werden sie ausgenutzt, um ein bösartiges Backdoor-Plugin namens wp-felony.php zu installieren und zu aktivieren. Nach der Aktivierung wird das betrügerische Plugin verwendet, um eine Nutzlast von specialcraftbox[.]com bereitzustellen, die in einer sasas-Datei gespeichert ist. Auf diese Weise können Bedrohungsakteure die Stammverzeichnisse von Websites erkennen und die "wp-blog-header.php".

Von hier aus können Hacker den Balada-Injektor-Schadprogramm mit Leichtigkeit einschleusen. Zu verstehen, wie der Angriff ausgeführt wird, ist von entscheidender Bedeutung für die Entwicklung einer Cybersicherheitsstrategie. Außerdem können Administratoren Schutzmaßnahmen ergreifen, indem sie die Injektion lokalisieren und entfernen, indem sie auf die "Benutzerdefiniertes JS oder CSS" des Popup-Builder-Abschnitts der Benutzeroberfläche aufrufen.

Schlussfolgerung 

Die Balada-Injektor-Malware ist eine aktive Ausnutzung von CVE-2023-6000 im Zusammenhang mit dem Popup Builder-Plugin. Wenn die Schwachstelle ausgenutzt wird, haben Hacker die Möglichkeit, administrative Berechtigungen zu nutzen und auch "Rouge"-Admin-Benutzer zu erstellen. In Anbetracht der Tatsache, dass das Plugin über 200 000 aktive Installationen hat, ist die Implementierung robuste Cybersicherheitsmaßnahmen zum Schutz vor solchen Bedrohungen unerlässlich.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Dunkles Lesen.

Zusammenfassung
Balada Injector Malware kompromittiert mehr als 7.000 WordPress-Seiten
Artikel Name
Balada Injector Malware kompromittiert mehr als 7.000 WordPress-Seiten
Beschreibung
Gewinnen Sie einen umfassenden Einblick in die Balada-Injector-Malware und lernen Sie, wie Sie noch heute Schutzmaßnahmen gegen bösartige Aktivitäten implementieren können.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter