Hàng ngàn trang web WordPress sử dụng phiên bản dễ bị tấn công của plugin Popup Builder đã bị xâm phạm bởi một phần mềm độc hại có tên Balada Injector.
Lần đầu tiên được ghi nhận bởi Doctor Web vào tháng 1/2023, chiến dịch diễn ra trong một loạt các đợt tấn công định kỳ, vũ khí hóa các lỗ hổng bảo mật WordPress để chèn backdoor được thiết kế để chuyển hướng khách truy cập của các trang web bị nhiễm đến các trang hỗ trợ công nghệ không có thật, trúng xổ số gian lận và lừa đảo thông báo đẩy.
Những phát hiện tiếp theo được Sucuri khai quật đã tiết lộ quy mô lớn của hoạt động, được cho là đã hoạt động từ năm 2017 và xâm nhập vào không dưới 1 triệu địa điểm kể từ đó.
Công ty bảo mật trang web thuộc sở hữu của GoDaddy, đã phát hiện hoạt động Balada Injector mới nhất vào ngày 13/12/2023, cho biết họ đã xác định được các mũi tiêm trên hơn 7.100 trang web.
Những cuộc tấn công này lợi dụng lỗ hổng nghiêm trọng cao trong Popup Builder (CVE-2023-6000, điểm CVSS: 8.8) - một plugin có hơn 200.000 lượt cài đặt đang hoạt động - đã được WPScan tiết lộ công khai một ngày trước đó. Vấn đề đã được giải quyết trong phiên bản 4.2.3.
"Khi bị khai thác thành công, lỗ hổng này có thể cho phép kẻ tấn công thực hiện bất kỳ hành động nào mà quản trị viên đã đăng nhập mà chúng nhắm mục tiêu được phép thực hiện trên trang web được nhắm mục tiêu, bao gồm cài đặt các plugin tùy ý và tạo người dùng Quản trị viên giả mạo mới", nhà nghiên cứu Marc Montpas của WPScan cho biết.
Mục tiêu cuối cùng của chiến dịch là chèn một tệp JavaScript độc hại được lưu trữ trên specialcraftbox [.] com và sử dụng nó để kiểm soát trang web và tải JavaScript bổ sung để tạo điều kiện chuyển hướng độc hại.
Hơn nữa, các tác nhân đe dọa đằng sau Balada Injector được biết là thiết lập quyền kiểm soát liên tục đối với các trang web bị xâm nhập bằng cách tải lên các cửa hậu, thêm các plugin độc hại và tạo quản trị viên blog giả mạo.
Điều này thường được thực hiện bằng cách sử dụng tiêm JavaScript để nhắm mục tiêu cụ thể các quản trị viên trang web đã đăng nhập.
"Ý tưởng là khi một quản trị viên blog đăng nhập vào một trang web, trình duyệt của họ chứa cookie cho phép họ thực hiện tất cả các tác vụ quản trị mà không cần phải xác thực bản thân trên mỗi trang mới", nhà nghiên cứu Denis Sinegubko của Sucuri lưu ý vào năm ngoái.
"Vì vậy, nếu trình duyệt của họ tải một tập lệnh cố gắng mô phỏng hoạt động của quản trị viên, nó sẽ có thể làm hầu hết mọi thứ có thể được thực hiện thông qua giao diện quản trị WordPress."
Làn sóng mới cũng không ngoại lệ ở chỗ nếu phát hiện cookie quản trị đã đăng nhập, nó sẽ vũ khí hóa các đặc quyền nâng cao để cài đặt và kích hoạt plugin backdoor giả mạo ("wp-felody.php" hoặc "Wp Felody") để lấy tải trọng giai đoạn hai từ tên miền nói trên.
Payload, một backdoor khác, được lưu dưới tên "sasas" vào thư mục lưu trữ các tệp tạm thời, sau đó được thực thi và xóa khỏi đĩa.
"Nó kiểm tra tối đa ba cấp trên thư mục hiện tại, tìm kiếm thư mục gốc của trang web hiện tại và bất kỳ trang web nào khác có thể chia sẻ cùng một tài khoản máy chủ", Sinegubko nói.
"Sau đó, trong các thư mục gốc của trang web được phát hiện, nó sửa đổi tệp wp-blog-header.php để tiêm cùng một phần mềm độc hại JavaScript Balada như ban đầu được tiêm qua lỗ hổng Popup Builder."