On estime qu’un million de sites Web WordPress ont été compromis au cours d’une campagne de longue durée qui exploite « toutes les vulnérabilités de thèmes et de plugins connues et récemment découvertes » pour injecter une porte dérobée Linux que les chercheurs ont nommée Balad Injector.
La campagne est en cours depuis 2017 et vise principalement à rediriger vers de fausses pages de support technique, des gains de loterie frauduleux et des escroqueries par notification push.
Selon la société de sécurité de sites Web Sucuri, la campagne Balad Injector est la même que celle que Dr. Web a signalée en décembre 2022 pour exploiter les failles connues de plusieurs plugins et thèmes pour planter une porte dérobée.
Campagne de longue durée
Sucuri rapporte que les attaques de Balada Injector se produisent par vagues une fois par mois environ, chacune utilisant un nom de domaine fraîchement enregistré pour échapper aux listes de blocage.
Habituellement, le logiciel malveillant exploite les vulnérabilités récemment révélées et développe des routines d’attaque personnalisées autour de la faille qu’il cible.
Les méthodes d’injection observées par Sucuri pendant tout ce temps incluent les hacks de siteurl, les injections HTML, les injections de base de données et les injections de fichiers arbitraires.
Cette pléthore de vecteurs d’attaque a également créé des infections de site en double, avec des vagues ultérieures ciblant des sites déjà compromis. Sucuri met en lumière le cas d’un site qui a été attaqué 311 fois avec 11 versions distinctes de Balada.
Activité post-infection
Les scripts de Balada se concentrent sur l’exfiltration d’informations sensibles telles que les informations d’identification de la base de données à partir des fichiers wp-config.php, donc même si le propriétaire du site supprime une infection et corrige ses modules complémentaires, l’acteur de la menace conserve son accès.
La campagne recherche également des archives et des bases de données de sauvegarde, des journaux d’accès, des informations de débogage et des fichiers susceptibles de contenir des informations sensibles. Sucuri dit que l’acteur de la menace actualise fréquemment la liste des fichiers ciblés.
De plus, le malware recherche la présence d’outils d’administration de base de données comme Adminer et phpMyAdmin. Si ces outils sont vulnérables ou mal configurés, ils pourraient être utilisés pour créer de nouveaux utilisateurs administrateurs, extraire des informations du site ou injecter des logiciels malveillants persistants dans la base de données.
Si ces voies de violation directes ne sont pas disponibles, les attaquants se tournent vers le forçage brutal du mot de passe administrateur en essayant un ensemble de 74 informations d’identification.
Portes dérobées Balada
L’injecteur Balada plante plusieurs portes dérobées sur les sites WordPress compromis pour la redondance, qui agissent comme des points d’accès cachés pour les attaquants.
Sucuri rapporte qu’à un moment donné en 2020, Balada abandonnait les portes dérobées à 176 chemins prédéfinis, ce qui rendait la suppression complète de la porte dérobée très difficile.
De plus, les noms des portes dérobées plantées ont changé à chaque vague de campagne pour rendre les détections et les suppressions plus difficiles pour les propriétaires de sites Web.
Les chercheurs affirment que les injecteurs Balada ne sont pas présents sur tous les sites compromis, car un nombre aussi important de clients serait un défi difficile à gérer. Ils pensent que les pirates ont téléchargé les logiciels malveillants sur des sites Web « hébergés sur des serveurs privés ou virtuels qui montrent des signes de mauvaise gestion ou de négligence ».
À partir de là, les injecteurs recherchent les sites Web qui partagent le même compte de serveur et les mêmes autorisations de fichiers et les recherchent dans des répertoires inscriptibles, en commençant par des répertoires à privilèges plus élevés, pour effectuer des infections intersites.
Cette approche permet aux acteurs de la menace de compromettre facilement plusieurs sites en une seule fois et de diffuser rapidement leurs portes dérobées tout en devant gérer un nombre minimal d’injecteurs.
De plus, les infections intersites permettent aux attaquants de réinfecter à plusieurs reprises les sites nettoyés, tant que l’accès au VPS est maintenu.
Sucuri note que la défense contre les attaques de Balada Injector peut différer d’un cas à l’autre et qu’il n’y a pas d’ensemble d’instructions spécifiques que les administrateurs peuvent suivre pour tenir la menace à distance, en raison de la grande variété de vecteurs d’infection.
Cependant, les guides généraux de nettoyage des logiciels malveillants WordPress de Sucuri devraient suffire à bloquer la plupart des tentatives.
La mise à jour de tous les logiciels du site Web, l’utilisation de mots de passe forts et uniques, la mise en œuvre d’une authentification à deux facteurs et l’ajout de systèmes d’intégrité des fichiers devraient fonctionner suffisamment bien pour protéger les sites contre les compromis.