La campagne d'injections de Balad compromet les sites web WordPress
Selon Sucuri, un million de sites web WordPress ont été piratés dans le cadre d'un effort persistant visant "toutes les vulnérabilités connues et récemment découvertes pour les thèmes et les plugins".
Les chercheurs ont appelé cette campagne Balad Injector car elle injecte une porte dérobée Linux. Depuis 2017, ce malware redirige les utilisateurs vers de fausses pages d'aide technique, de faux gains de loterie et des fraudes aux notifications push.
Selon Sucuri, les attaques de Balad Injector se produisent par vagues environ une fois par mois, chaque vague utilisant un nom de domaine nouvellement enregistré pour éviter les listes de blocage. Le virus cible les vulnérabilités récemment signalées et construit des routines d'attaque uniques autour d'elles.
Les piratages de siteurl, les injections HTML, les injections de bases de données et les injections de fichiers arbitraires ne sont que quelques-uns des vecteurs d'attaque dont dispose l'injecteur Balad. Ces techniques d'attaque ont entraîné des infections de sites en double, les vagues suivantes se concentrant sur des sites déjà compromis. Sucuri a cité un scénario dans lequel un site web a été attaqué 311 fois avec 11 variantes différentes de Balad.
Une fois le site compromis, les scripts Balad se concentrent sur l'exfiltration d'informations sensibles telles que les identifiants de base de données des fichiers wp-config.php. Même si le propriétaire du site élimine l'infection et corrige ses modules complémentaires, l'acteur de la menace conserve son accès. La campagne recherche également des archives et des bases de données de sauvegarde, des journaux d'accès, des informations de débogage et des fichiers susceptibles de contenir des informations sensibles.
L'injecteur Balad installe plusieurs portes dérobées sur des sites WordPress compromis à des fins de redondance, qui agissent comme des points d'accès cachés pour les attaquants. En 2020, Balada a déposé des portes dérobées sur 176 chemins prédéfinis, ce qui rend la suppression complète de la porte dérobée très difficile. En outre, les noms des portes dérobées introduites changeaient à chaque vague de la campagne afin de rendre les détections et les suppressions plus difficiles pour les propriétaires de sites web.
Sucuri note que la défense contre les attaques de Balad Injector peut varier d'un cas à l'autre et qu'il n'existe pas d'ensemble d'instructions spécifiques que les administrateurs peuvent suivre pour tenir la menace à distance, en raison de la grande variété de vecteurs d'infection. Toutefois, les guides généraux de Sucuri pour le nettoyage des logiciels malveillants sur WordPress devraient suffire à bloquer la plupart des tentatives. La mise à jour de tous les logiciels du site web, l'utilisation de mots de passe forts et uniques, la mise en œuvre d'une authentification à deux facteurs et l'ajout de systèmes d'intégrité des fichiers devraient suffire à protéger les sites contre les compromissions.
Les sources de cet article comprennent un article de BleepingComputer.