Des milliers de sites WordPress utilisant une version vulnérable du plugin Popup Builder ont été compromis par un malware appelé Injecteur Balada.
Documentée pour la première fois par Doctor Web en janvier 2023, la campagne se déroule sous la forme d’une série de vagues d’attaques périodiques, exploitant les failles de sécurité des plugins WordPress pour injecter des portes dérobées conçues pour rediriger les visiteurs de sites infectés vers de fausses pages d’assistance technique, des gains frauduleux à la loterie et des escroqueries par notifications push. .
Les découvertes ultérieures exhumées par Sucuri ont révélé l’ampleur massive de l’opération, qui serait active depuis 2017 et aurait infiltré depuis lors pas moins d’un million de sites.
La société de sécurité de sites Web appartenant à GoDaddy, qui détecté la dernière activité de Balada Injector le 13 décembre 2023, a déclaré avoir identifié les injections sur plus de 7 100 sites.
Ces attaques profitent d’une faille de haute gravité dans Popup Builder (CVE-2023-6000score CVSS : 8,8) – un plugin avec plus de 200 000 installations actives – qui a été divulgué publiquement par WPScan la veille. Le problème a été résolu dans la version 4.2.3.
“Lorsqu’elle est exploitée avec succès, cette vulnérabilité peut permettre aux attaquants d’effectuer toute action que l’administrateur connecté qu’ils ont ciblé est autorisé à faire sur le site ciblé, y compris l’installation de plugins arbitraires et la création de nouveaux utilisateurs administrateurs malveillants”, a déclaré Marc Montpas, chercheur chez WPScan. dit.
Le but ultime de la campagne est d’insérer un fichier JavaScript malveillant hébergé sur specialcraftbox[.]com et utilisez-le pour prendre le contrôle du site Web et charger du JavaScript supplémentaire afin de faciliter les redirections malveillantes.
De plus, les acteurs malveillants derrière Balada Injector sont connus pour établir un contrôle persistant sur les sites compromis en téléchargeant des portes dérobées, en ajoutant des plugins malveillants et en créant des administrateurs de blog malveillants.
Ceci est souvent réalisé en utilisant des injections JavaScript pour cibler spécifiquement les administrateurs de site connectés.
“L’idée est que lorsqu’un administrateur de blog se connecte à un site Web, son navigateur contient des cookies qui lui permettent d’effectuer toutes ses tâches administratives sans avoir à s’authentifier à chaque nouvelle page”, a noté l’année dernière Denis Sinegubko, chercheur à Sucuri.
“Ainsi, si leur navigateur charge un script qui tente d’émuler l’activité de l’administrateur, il pourra faire presque tout ce qui peut être fait via l’interface d’administration de WordPress.”
La nouvelle vague ne fait pas exception dans la mesure où si des cookies d’administrateur connectés sont détectés, elle utilise les privilèges élevés pour installer et activer un plugin de porte dérobée malveillant (“wp-felody.php” ou “Wp Felody”) afin d’en récupérer un deuxième. -charge utile de scène du domaine susmentionné.
La charge utile, une autre porte dérobée, est enregistrée sous le nom “sasas” dans le répertoire où sont stockés les fichiers temporairespuis est exécuté et supprimé du disque.
“Il vérifie jusqu’à trois niveaux au-dessus du répertoire actuel, recherchant le répertoire racine du site actuel et tout autre site susceptible de partager le même compte de serveur”, a déclaré Sinegubko.
“Ensuite, dans les répertoires racine du site détectés, il modifie le fichier wp-blog-header.php pour injecter le même malware JavaScript Balada que celui initialement injecté via la vulnérabilité Popup Builder.”



