S’estima que més d’un milió de llocs web de WordPress han estat infectats per una campanya en curs per desplegar codi maliciós (malware) anomenat Balada Injector des de 2017.
La campanya massiva, segons Sucuri, “aprofita totes les vulnerabilitats de temes i plugins conegudes i descobertes recentment” per vulnerar llocs de WordPress. Se sap que els atacs es produeixen en onades cada poques setmanes.
“Aquesta campanya s’identifica fàcilment per la seva preferència per l’ofuscació String.fromCharCode, l’ús de noms de domini acabats de registrar que allotgen scripts maliciosos en subdominis aleatoris i per les redireccions a diversos llocs fraudulents”, afirma Denis Sinegubko, investigador de seguretat.
Els llocs web inclouen assistència tècnica falsa, premis de loteria fraudulents i pàgines CAPTCHA fraudulentes que insten els usuaris a activar les notificacions “Permetre per verificar que no és un robot”, cosa que permet als autors enviar anuncis d’spam.
L’informe es basa en troballes recents del antivirus Doctor Web, que va detallar una família de codi maliciós Linux que aprofita errors en més de dues dotzenes de plugins i temes per comprometre llocs WordPress vulnerables.
En els darrers anys, Balada Injector ha utilitzat més de 100 dominis i molts mètodes per aprofitar-se de fallades de seguretat conegudes els atacants intenten principalment obtenir credencials de la base de dades al fitxer wp-config.php.
A més, els atacs estan dissenyats per llegir o descarregar arxius arbitraris del lloc – incloent còpies de seguretat, bolcats de base de dades, arxius de registre i derror –, així com la recerca d’eines com adminer i phpmyadmin que podrien haver estat deixats per els administradors del lloc en completar les tasques de manteniment.
En última instància, el codi maliciós permet generar falsos usuaris administradors de WordPress, recopilar dades emmagatzemades en els hosts subjacents i deixar portes del darrere per a l’accés persistent.
Balada Injector realitza a més àmplies cerques als directoris de nivell superior associats al sistema de fitxers del lloc web compromès per localitzar directoris amb permisos d’escriptura que pertanyen a altres llocs.