Carding 4 Carders
Professional
Более 17 000 сайтов WordPress были скомпрометированы в сентябре 2023 года вредоносным ПО, известным как Balada Injector, что почти вдвое превышает число обнаружений в августе.
Из них 9 000 веб-сайтов, как утверждается, были взломаны с использованием недавно обнаруженной уязвимости безопасности в плагине tagDiv Composer (CVE-2023-3169, оценка CVSS: 6.1), которая могла быть использована пользователями, не прошедшими проверку подлинности, для выполнения атак с использованием хранимых межсайтовых скриптов (XSS).
"Это не первый случай, когда банда Balada Injector нацелилась на уязвимости в премиум-темах tagDiv", - сказал исследователь безопасности Sucuri Денис Синегубко.
"Одно из самых ранних массовых внедрений вредоносного ПО, которое мы могли бы отнести к этой кампании, произошло летом 2017 года, когда были обнаружены ошибки безопасности в темах WordPress для газет и журналов новостей".
Balada Injector - крупномасштабная операция, впервые обнаруженная компанией "Доктор Веб" в декабре 2022 года, в ходе которой злоумышленники используют различные недостатки плагинов WordPress для развертывания бэкдора Linux в уязвимых системах.
Основная цель имплантата - направлять пользователей скомпрометированных сайтов на поддельные страницы технической поддержки, мошеннические выигрыши в лотереях и мошеннические push-уведомления. Кампания затронула более миллиона веб-сайтов с 2017 года.
Атаки с использованием Balada Injector проявляются в виде повторяющихся волн активности, которые происходят каждые пару недель, причем всплеск заражений обнаруживается по вторникам после начала волны в выходные.
Последняя серия взломов связана с использованием CVE-2023-3169 для внедрения вредоносного скрипта и, в конечном итоге, установления постоянного доступа к сайтам путем загрузки бэкдоров, добавления вредоносных плагинов и создания администраторов блогов-мошенников.
Исторически эти скрипты были нацелены на зарегистрированных администраторов сайтов WordPress, поскольку они позволяют злоумышленнику выполнять вредоносные действия с повышенными привилегиями через интерфейс администратора, включая создание новых пользователей-администраторов, которых они могут использовать для последующих атак.
О быстро развивающемся характере скриптов свидетельствует их способность внедрять бэкдор на 404 страницах с ошибками веб-сайтов, которые способны выполнять произвольный PHP-код, или, в качестве альтернативы, использовать код, встроенный в страницы, для автоматической установки вредоносного плагина wp-zexit.
Сукури описал это как "один из самых сложных типов атак", выполняемых скриптом, учитывая, что он имитирует весь процесс установки плагина из ZIP-архива и его активации.
Основная функциональность плагина такая же, как у бэкдора, который заключается в выполнении PHP-кода, отправленного удаленно участниками угрозы.
Новые волны атак, наблюдавшиеся в конце сентября 2023 года, влекут за собой использование рандомизированных инъекций кода для загрузки и запуска вредоносного ПО второй стадии с удаленного сервера для установки плагина wp-zexit.
Также используются запутанные скрипты, которые передают файлы cookie посетителя на URL, контролируемый участником, и получают взамен неуказанный код JavaScript.
"Их размещение в файлах скомпрометированных сайтов ясно показывает, что на этот раз вместо использования уязвимости tagDiv Composer злоумышленники использовали свои бэкдоры и вредоносных пользователей-администраторов, которые были внедрены после успешных атак на администраторов веб-сайтов", - пояснил Синегубко.
