Tysiące witryn WordPress korzystających z podatnej na ataki wersji wtyczki Popup Builder zostało zainfekowanych złośliwym oprogramowaniem o nazwie Balada Injector.
Kampania, udokumentowana po raz pierwszy przez Doctor Web w styczniu 2023 r., składa się z serii okresowych fal ataków, wykorzystujących luki w zabezpieczeniach wtyczki WordPress do wstrzykiwania (nie)sławnego już backdoora. Balada Injector zaprojektowany jest w celu przekierowywania osób odwiedzających zainfekowane witryny na fałszywe strony pomocy technicznej, rzekomych wygranych na loterii i oszustw związanych z powiadomieniami push. Późniejsze ustalenia Sucuri ujawniły ogromną skalę operacji, która rzekomo trwała od 2017 r. i od tego czasu zinfiltrowała co najmniej milion(!) witryn. Pisaliśmy o tym na KH w ubiegłym roku.
Należąca do GoDaddy firma zajmująca się bezpieczeństwem witryn internetowych, Securi, która 13 grudnia 2023 r. wykryła najnowszą aktywność narzędzia Balada Injector, stwierdziła, iż zidentyfikowała infekcje w ponad 7100 witrynach. Ataki te wykorzystują bardzo poważną lukę w Popup Builder (CVE-2023-6000, wynik CVSS: 8,8) – wtyczce z ponad 200 000 aktywnych instalacji – która została publicznie ujawniona przez WPScan 12 grudnia 2023 roku, czyli dzień przed odkryciem.
„Po pomyślnym wykorzystaniu luka pozwala atakującym na wykonanie w docelowej witrynie dowolnej czynności, którą może wykonać zalogowany administrator, w tym zainstalowanie dowolnych wtyczek i utworzenie nowych fałszywych użytkowników-administratorów” – podał Marc Montpas, badacz WPScan.
Ostatecznym celem kampanii jest wstawienie złośliwego pliku JavaScript znajdującego się na stronie specialcraftbox[.]com i wykorzystanie go do przejęcia kontroli nad witryną oraz załadowania dodatkowego kodu JavaScript do umożliwienia złośliwego przekierowywania.
Ponadto wiadomo, iż grupy hakerskie stojące za Balada Injector ustanawiają trwałą kontrolę nad zaatakowanymi witrynami, przesyłając backdoory, dodając złośliwe wtyczki i tworząc ukryte konta z podwyższonymi uprawnieniami. Często osiąga się to dzięki wstrzykiwań JavaScript skierowanych specjalnie do zalogowanych administratorów witryny.
„Pomysł jest taki, iż gdy administrator danego bloga loguje się do witryny internetowej, jego przeglądarka zawiera pliki cookie, które pozwalają mu wykonywać wszystkie zadania administracyjne bez konieczności uwierzytelniania się na każdej nowej stronie” – tłumaczył w zeszłym roku Denis Sinegubko, badacz Sucuri. „Tak więc, jeżeli ich przeglądarka załaduje skrypt, który próbuje emulować działania administratora, będzie w stanie zrobić prawie wszystko, co można zrobić za pośrednictwem interfejsu administracyjnego WordPressa”.
Nowa fala ataków nie jest pierwszą, która w przypadku wykrycia plików cookie zalogowanego administratora wykorzystuje podwyższone uprawnienia do instalowania i aktywowania fałszywej wtyczki backdoora w celu pobrania drugiej. Jest to atak wieloetapowy, a złośliwe wtyczki mają tutaj swoje stałe nazwy, np. „wp-felody.php”.
Ładunek, kolejny backdoor, jest zapisywany pod nazwą „sasas” w katalogu, w którym przechowywane są pliki tymczasowe, a następnie wykonywany i usuwany z dysku. Potem w głównych katalogach wykrytych witryn modyfikuje plik wp-blog-header.php, aby wprowadzić to samo złośliwe oprogramowanie Balada JavaScript, które zostało pierwotnie wprowadzone poprzez lukę w zabezpieczeniach Popup Builder.
Ostatnia fala ataków na usługę WordPress przypomina, iż ten sam malware jest cały czas skuteczny. Dostaje się tylko do środowiska inną drogą. Dlatego dbanie o higienę witryn opartych na WordPressie jest tak ważne. Musimy pamiętać, iż im więcej dodatków, plug-inów i zewnętrznych integracji, tym więcej możliwych wektorów ataku i potencjalnych podatności.