Le logiciel malveillant Balada Injector compromet plus de 7 000 sites WordPress
Les acteurs de la menace ont récemment utilisé le malware logiciel malveillant injecteur Balada pour exploiter la vulnérabilité d'un plugin, ce qui a conduit à la compromission de plus de 7 000 sites WordPress. Des rapports récents ont fait la lumière sur les infections par l'injecteur Balada de WordPress, affirmant que les attaques ont été documentées pour la première fois en décembre 2022. Au cours de l'attaque, une version vulnérable du plugin Popup Builder plugin a été exploitée.
Dans cet article, nous allons nous plonger dans tous les détails du malware injecteur logiciel malveillant injecteur Balada et nous verrons comment elle se déroule.
La famille de logiciels malveillants Balada Injector
Comprendre les origines du logiciel malveillant injecteur logiciel malveillant injecteur Balada avant de se plonger dans les méandres de l'attaque. La famille de logiciels malveillants est active depuis 2017 et prend en charge de multiples fournisseurs d'attaques et mécanismes de persistance garantissant la mise en œuvre d'intentions malveillantes.
Il convient de mentionner ici que le code malveillant a été initialement identifié à la fin du mois de décembre de l'année dernière. A rapport de Doctor Web sur l'exploitation de la vulnérabilité du plugin Balada Exploitation de la vulnérabilité d'un plugin WordPress indique qu'un programme malveillant est capable de pirater des sites web basés sur le système de gestion de contenu (CMS) WordPress en exploitant plusieurs plugins et thèmes.
Les attaques précédentes utilisant l'injecteur injecteur Balada malware ont compromis plus de 17 000 sites en septembre de l'année dernière. Le nombre de sites compromis au cours de cette période a plus que doublé par rapport au mois précédent. Lors de ces attaques, une vulnérabilité concernant les thèmes premium de tagDiv a été exploitée.
Le logiciel malveillant Balada Injector et le plugin Popup Builder
Le rapport de Doctor Web, qui fournit des informations supplémentaires sur la méthodologie de l'attaque, indique que les sites utilisant des versions obsolètes de plugins et de thèmes sont à risque. Ces versions manquent de correctifs cruciaux, ce qui permet aux acteurs de la menace d'injecter des pages ciblées avec du code JavaScript malveillant.
Une fois le code injecté, les utilisateurs qui cliquent sur n'importe quelle partie de la page attaquée sont redirigés vers d'autres sites. En ce qui concerne le plugin Popup builder pluginles pirates peuvent exploiter la vulnérabilité pour effectuer des actions malveillantes au nom des utilisateurs connectés avec des privilèges administratifs.
Qu'est-ce qui fait du logiciel malveillant injecteur Balada est que la vulnérabilité exploitée peut même être utilisée pour créer un nouvel utilisateur administrateur malhonnête. La vulnérabilité a été identifiée comme CVE-2023-6000, avec un score de gravité de 8,8.
Décoder les attaques du plugin Popup Builder
Avant d'entrer dans les détails de l'attaque, il convient de préciser que le plugin Popup Builder plugin compte plus de 200 000 installations actives. Une telle utilisation intensifie encore plus le malware "injecteur Balada". malware injecteur Balada injecteur Balada. Une récente vague d'attaques a permis d'observer que les acteurs de la menace sont capables de détecter les cookies des administrateurs connectés.
Une fois détectés, ils sont exploités pour installer et activer un plugin de porte dérobée appelé wp-felony.php. Une fois activé, le plugin malveillant est utilisé pour déployer une charge utile provenant de specialcraftbox[.]com, qui est enregistrée dans un fichier sasas. Une telle approche permet aux acteurs de la menace de détecter les répertoires racine des sites et de modifier le fichier "wp-blog-header.php".
À partir de là, les pirates peuvent injecter le logiciel malveillant injecteur Balada en toute simplicité. Il est essentiel de comprendre comment l'attaque est exécutée pour élaborer une stratégie de cybersécurité. En outre, les administrateurs peuvent prendre des mesures de protection en localisant et en supprimant l'injection en accédant à la section "JS ou CSS personnalisés de la section Popup Builder de leur interface.
Conclusion
Le logiciel malveillant logiciel malveillant injecteur Balada est une exploitation active de la CVE-2023-6000 relative au plugin plugin Popup Builder. Cette vulnérabilité, lorsqu'elle est exploitée, donne aux pirates la possibilité d'utiliser les privilèges administratifs et leur permet également de créer des utilisateurs administrateurs rouges. Étant donné que le plugin compte plus de 200 000 installations actives, la mise en œuvre de mesures de cybersécurité robustes est essentielle pour se prémunir contre de telles menaces.
Les sources de cet article comprennent des articles dans The Hacker News et Dark Reading.