Gli esperti di Sucuri hanno rilevato nuovi attacchi con Balada Injector negli ultimi mesi. Il malware circola dal 2017 e ha già colpito oltre un milione di siti WordPress. Il nome deriva dalla directory usata per copiare il client scritto in linguaggio Go e dalla sua principale funzionalità, ovvero quella di iniettare codice infetto, sfruttando vulnerabilità di temi e plugin.
Iniezioni multiple per siti WordPress
Balada Injector utilizza diversi tipi di iniezioni in base alla vulnerabilità. Una di essa permette di iniettare codice HTML e JavaScript in temi e plugin per ottenere accesso all’account amministratore. Dopo aver rubato le credenziali del database è possibile invece iniettare codice nelle pagine del sito, modificare file e installare plugin infetti.
In altri casi vengono caricati file arbitrari e iniettate backdoor PHP, JavaScript e HTML. Utilizzando diversi tipi di attacco è possibile colpire più volte lo stesso sito. Uno dei più recenti ha sfruttato la vulnerabilità del plugin Elementor Pro. Le vecchie vulnerabilità sono tuttora sfruttate da Balada Injector perché i siti non sono stati aggiornati.
Il malware raccoglie numerose informazioni, tra cui credenziali dei database, archivi, log di accesso e file con dati sensibili. I cybercriminali cercano anche di sfruttare vulnerabilità dei tool di amministrazione (phpMyAdmin e altri) per creare account con privilegi elevati e usare la “forza bruta” per trovare le password.
Balada Injector installa infine varie backdoor per mantenere l’accesso remoto. Tutti i dati raccolti sono inviati ad un server C2 (command and control). Per limitare i rischi è consigliata l’installazione delle ultime versioni di plugin e temi. Ovviamente devono essere usate password robuste in abbinamento all’autenticazione in due fattori.
Ti potrebbe interessare
10 apr 2023