Plusieurs campagnes Balada Injector ont compromis et infecté plus de 17 000 sites WordPress en utilisant des failles connues dans les plugins de thèmes premium.

Balada Injector est une opération massive découverte en décembre 2022 par Dr. Web, qui exploite divers exploits pour des failles connues du plugin et du thème WordPress pour injecter une porte dérobée Linux.

La porte dérobée redirige les visiteurs des sites Web compromis vers de fausses pages d’assistance technique, des gains frauduleux à la loterie et des escroqueries par notification push. Elle fait donc partie de campagnes frauduleuses ou d’un service vendu à des fraudeurs.

En avril 2023, Sucuri a signalé que Balada Injector était actif depuis 2017 et estimait qu’il avait compromis près d’un million de sites WordPress.

Campagne en cours
Les auteurs de la menace exploitent la faille XSS (cross-site scripting) CVE-2023-3169 dans tagDiv Composer, un outil complémentaire pour les thèmes Newspaper et Newsmag de tagDiv pour les sites WordPress.

Selon les statistiques publiques d’EnvatoMarket, Newspaper réalise 137 000 ventes et Newsmag plus de 18 500, la surface d’attaque est donc de 155 500 sites Web, sans compter les copies piratées.

Il s’agit de deux thèmes premium (payants), souvent utilisés par des plateformes en ligne prospères qui maintiennent des opérations saines et génèrent un trafic important.

La dernière campagne ciblant CVE-2023-3169 a débuté à la mi-septembre, peu de temps après la divulgation des détails de la vulnérabilité et la publication d’un PoC (exploit de preuve de concept).

Ces attaques s’inscrivent dans le cadre d’une campagne partagée avec Breachtrace fin septembre, lorsque les administrateurs ont signalé sur Reddit que de nombreux sites WordPress étaient infectés par un plugin malveillant appelé wp-zexit.php.

Ce plugin permettait aux acteurs malveillants d’envoyer à distance du code PHP qui serait enregistré dans le fichier /tmp/i et exécuté.

Les attaques ont également été marquées par l’injection de code dans des modèles qui redirigeraient les utilisateurs vers des sites frauduleux sous le contrôle de l’attaquant.

À l’époque, un représentant de tagDiv avait confirmé qu’il était au courant de la faille et avait demandé aux utilisateurs d’installer le dernier thème pour empêcher les attaques.

« Nous sommes conscients de ces cas. Le malware peut affecter les sites Web utilisant d’anciennes versions de thèmes », a expliqué tagDiv.

« En plus de mettre à jour le thème, il est recommandé d’installer immédiatement un plugin de sécurité tel que wordfence et d’analyser le site Web. Changez également tous les mots de passe du site Web. »

Le rapport de Sucuri jette un nouvel éclairage sur la campagne, avertissant que plusieurs milliers de sites ont déjà été compromis.

Un signe caractéristique de l’exploitation de CVE-2023-3169 est un script malveillant injecté dans des balises spécifiques, tandis que l’injection obscurcie elle-même peut être trouvée dans la table « wp_options » de la base de données du site Web.

Sucuri a observé six vagues d’attaques distinctes, dont certaines présentent également des variantes et qui sont résumées ci-dessous :

  1. Compromettre les sites WordPress en injectant des scripts malveillants depuis stay.decentralappps[.]com. La faille permettait la propagation de code malveillant sur des pages publiques. Plus de 5 000 sites ont été impactés par deux variants (4 000 et 1 000).
  2. Utilisation d’un script malveillant pour créer des comptes d’administrateur WordPress malveillants. À l’origine, un nom d’utilisateur « greeceman » était utilisé, mais les attaquants sont passés à des noms d’utilisateur générés automatiquement en fonction du nom d’hôte du site.
  3. Abusez de l’éditeur de thème WordPress pour intégrer des portes dérobées dans le fichier 404.php du thème Journal pour une persistance furtive.
  4. Les attaquants ont opté pour l’installation du plugin wp-zexit mentionné précédemment, qui imitait le comportement de l’administrateur de WordPress et masquait la porte dérobée dans l’interface Ajax du site Web.
  5. L’introduction de trois nouveaux domaines et une randomisation accrue dans les scripts, URL et codes injectés ont rendu le suivi et la détection plus difficiles. Une injection spécifique de cette vague a été observée dans 484 sites.
  6. Les attaques utilisent désormais les sous-domaines promsmotion[.]com au lieu de stay.decentralapps[.]com et limitent le déploiement à trois injections spécifiques détectées dans 92, 76 et 67 sites Web. De plus, le scanner de Sucuri détecte les injections de Promsmotion sur un total de 560 sites.

En général, Sucuri affirme avoir détecté Balada Injector sur plus de 17 000 sites WordPress en septembre 2023, dont plus de la moitié (9 000) ont été obtenus en exploitant CVE-2023-3169.

Les vagues d’attaques ont été rapidement optimisées, ce qui indique que les auteurs de la menace peuvent rapidement adapter leurs techniques pour obtenir un impact maximal.

Pour se défendre contre Balada Injector, il est recommandé de mettre à niveau le plugin tagDiv Composer vers la version 4.2 ou ultérieure, qui corrige la vulnérabilité mentionnée.

Gardez également tous vos thèmes et plugins à jour, supprimez les comptes d’utilisateurs dormants et analysez vos fichiers à la recherche de portes dérobées cachées.

Le scanner à accès gratuit de Sucuri détecte la plupart des variantes de Balada Injector, vous souhaiterez donc peut-être l’utiliser pour analyser votre installation WordPress à la recherche de compromis.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *