Un peu plus de 6 700 sites Web WordPress utilisant une version vulnérable du plugin Popup Builder ont été infectés par le malware Balada Injector lors d’une campagne lancée à la mi-décembre.
Initialement documenté par des chercheurs de Dr. Web qui ont observé des vagues d’attaques coordonnées exploitant des failles connues dans les thèmes et les addons WordPress, il a été découvert plus tard que Balada Injector était une opération massive en cours depuis 2017 qui avait compromis plus de 17 000 sites WordPress.
Les attaques injectent une porte dérobée qui redirige les visiteurs des sites compromis vers de fausses pages d’assistance, des sites de loterie et des escroqueries par notification push.
Dernière campagne
La dernière campagne Balada Injector a été lancée le 13 décembre 2023, deux jours après que WPScan a signalé CVE-2023-6000, une faille de script intersite (XSS) dans les versions 4.2.3 et antérieures de Popup Builder.
Popup Builder est utilisé sur 200 000 sites pour créer des fenêtres contextuelles personnalisées à des fins de marketing, d’information et fonctionnelles.
La société de sécurité de sites Web Sucuri rapporte que Balada Injector a rapidement intégré un exploit pour la faille, qui a détourné l’événement « sgpbWillOpen » dans le générateur de fenêtres contextuelles et exécuté du code JavaScript malveillant dans la base de données du site lors du lancement de la fenêtre contextuelle.
Sucuri a observé que les attaquants utilisaient également une méthode d’infection secondaire en modifiant l’en-tête wp-blog.fichier php pour injecter la même porte dérobée JavaScript.
Ensuite, l’auteur de la menace a recherché des cookies liés à l’administration qui lui permettaient de charger divers ensembles de scripts pour injecter la porte dérobée principale, déguisée en un plugin nommé ‘ wp-felody.php.’
Les chercheurs rapportent que l’infection ne s’arrête jamais à la première étape et que la plantation de la porte dérobée principale suit toujours la brèche initiale.
La fonctionnalité de la porte dérobée « crime » comprend l’exécution arbitraire de code PHP, le téléchargement et l’exécution de fichiers, la communication avec les attaquants et la récupération de charges utiles supplémentaires.
Actuellement, le nombre de sites Web compromis dans la campagne Balada Injector a atteint 6 700 sites Web.
L’analyse par Sucuri des domaines utilisés pour ces attaques révèle un schéma dans leur enregistrement, ce qui indique un effort pour masquer la véritable origine des attaques qui implique également l’utilisation de pare-feu Cloudflare.
Selon le chercheur en sécurité Randy McEoin, les redirections de cette campagne indiquent des escroqueries par notification push.
Pour se défendre contre les attaques par injection de Balada, les administrateurs du site WordPress doivent mettre à jour les thèmes et les plugins vers leur dernière version, désinstaller les produits qui ne sont plus pris en charge ou nécessaires sur le site Web.
Garder sur un site WordPress aussi peu de plugins actifs que possible réduit la surface d’attaque et minimise le risque de violations des scripts automatisés.