ClickCease Le logiciel malveillant Balada Injector compromet plus de 7 000 sites WordPress

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le logiciel malveillant Balada Injector compromet plus de 7 000 sites WordPress

Wajahat Raja

Le 30 janvier 2024 - L'équipe d'experts de TuxCare

Les acteurs de la menace ont récemment utilisé le malware logiciel malveillant injecteur Balada pour exploiter la vulnérabilité d'un plugin, ce qui a conduit à la compromission de plus de 7 000 sites WordPress. Des rapports récents ont fait la lumière sur les infections par l'injecteur Balada de WordPress, affirmant que les attaques ont été documentées pour la première fois en décembre 2022. Au cours de l'attaque, une version vulnérable du plugin Popup Builder plugin a été exploitée.

Dans cet article, nous allons nous plonger dans tous les détails du malware injecteur logiciel malveillant injecteur Balada et nous verrons comment elle se déroule.

La famille de logiciels malveillants Balada Injector 

Comprendre les origines du logiciel malveillant injecteur logiciel malveillant injecteur Balada avant de se plonger dans les méandres de l'attaque. La famille de logiciels malveillants est active depuis 2017 et prend en charge de multiples fournisseurs d'attaques et mécanismes de persistance garantissant la mise en œuvre d'intentions malveillantes.

Il convient de mentionner ici que le code malveillant a été initialement identifié à la fin du mois de décembre de l'année dernière. A rapport de Doctor Web sur l'exploitation de la vulnérabilité du plugin Balada Exploitation de la vulnérabilité d'un plugin WordPress indique qu'un programme malveillant est capable de pirater des sites web basés sur le système de gestion de contenu (CMS) WordPress en exploitant plusieurs plugins et thèmes.

Les attaques précédentes utilisant l'injecteur injecteur Balada malware ont compromis plus de 17 000 sites en septembre de l'année dernière. Le nombre de sites compromis au cours de cette période a plus que doublé par rapport au mois précédent. Lors de ces attaques, une vulnérabilité concernant les thèmes premium de tagDiv a été exploitée.

Le logiciel malveillant Balada Injector et le plugin Popup Builder 

Le rapport de Doctor Web, qui fournit des informations supplémentaires sur la méthodologie de l'attaque, indique que les sites utilisant des versions obsolètes de plugins et de thèmes sont à risque. Ces versions manquent de correctifs cruciaux, ce qui permet aux acteurs de la menace d'injecter des pages ciblées avec du code JavaScript malveillant. 

Une fois le code injecté, les utilisateurs qui cliquent sur n'importe quelle partie de la page attaquée sont redirigés vers d'autres sites. En ce qui concerne le plugin Popup builder pluginles pirates peuvent exploiter la vulnérabilité pour effectuer des actions malveillantes au nom des utilisateurs connectés avec des privilèges administratifs.

Qu'est-ce qui fait du logiciel malveillant injecteur Balada est que la vulnérabilité exploitée peut même être utilisée pour créer un nouvel utilisateur administrateur malhonnête. La vulnérabilité a été identifiée comme CVE-2023-6000, avec un score de gravité de 8,8.

Décoder les attaques du plugin Popup Builder 

Avant d'entrer dans les détails de l'attaque, il convient de préciser que le plugin Popup Builder plugin compte plus de 200 000 installations actives. Une telle utilisation intensifie encore plus le malware "injecteur Balada". malware injecteur Balada injecteur Balada. Une récente vague d'attaques a permis d'observer que les acteurs de la menace sont capables de détecter les cookies des administrateurs connectés.

Une fois détectés, ils sont exploités pour installer et activer un plugin de porte dérobée appelé wp-felony.php. Une fois activé, le plugin malveillant est utilisé pour déployer une charge utile provenant de specialcraftbox[.]com, qui est enregistrée dans un fichier sasas. Une telle approche permet aux acteurs de la menace de détecter les répertoires racine des sites et de modifier le fichier "wp-blog-header.php".

À partir de là, les pirates peuvent injecter le logiciel malveillant injecteur Balada en toute simplicité. Il est essentiel de comprendre comment l'attaque est exécutée pour élaborer une stratégie de cybersécurité. En outre, les administrateurs peuvent prendre des mesures de protection en localisant et en supprimant l'injection en accédant à la section "JS ou CSS personnalisés de la section Popup Builder de leur interface.

Conclusion 

Le logiciel malveillant logiciel malveillant injecteur Balada est une exploitation active de la CVE-2023-6000 relative au plugin plugin Popup Builder. Cette vulnérabilité, lorsqu'elle est exploitée, donne aux pirates la possibilité d'utiliser les privilèges administratifs et leur permet également de créer des utilisateurs administrateurs rouges. Étant donné que le plugin compte plus de 200 000 installations actives, la mise en œuvre de mesures de cybersécurité robustes est essentielle pour se prémunir contre de telles menaces.

Les sources de cet article comprennent des articles dans The Hacker News et Dark Reading.

Résumé
Le logiciel malveillant Balada Injector compromet plus de 7 000 sites WordPress
Nom de l'article
Le logiciel malveillant Balada Injector compromet plus de 7 000 sites WordPress
Description
Obtenez un aperçu complet du logiciel malveillant injecteur Balada et apprenez à mettre en œuvre des mesures de protection contre les activités malveillantes dès aujourd'hui.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information