Balada Injector: campagna malware contro WordPress

Balada Injector: campagna malware contro WordPress

Balada Injector è un malware piuttosto pericoloso, in quanto sfrutta le vulnerabilità (nuove e vecchie) di temi e plugin per colpire siti WordPress.
Balada Injector: campagna malware contro WordPress
Balada Injector è un malware piuttosto pericoloso, in quanto sfrutta le vulnerabilità (nuove e vecchie) di temi e plugin per colpire siti WordPress.

Gli esperti di Sucuri hanno rilevato nuovi attacchi con Balada Injector negli ultimi mesi. Il malware circola dal 2017 e ha già colpito oltre un milione di siti WordPress. Il nome deriva dalla directory usata per copiare il client scritto in linguaggio Go e dalla sua principale funzionalità, ovvero quella di iniettare codice infetto, sfruttando vulnerabilità di temi e plugin.

Iniezioni multiple per siti WordPress

Balada Injector utilizza diversi tipi di iniezioni in base alla vulnerabilità. Una di essa permette di iniettare codice HTML e JavaScript in temi e plugin per ottenere accesso all’account amministratore. Dopo aver rubato le credenziali del database è possibile invece iniettare codice nelle pagine del sito, modificare file e installare plugin infetti.

In altri casi vengono caricati file arbitrari e iniettate backdoor PHP, JavaScript e HTML. Utilizzando diversi tipi di attacco è possibile colpire più volte lo stesso sito. Uno dei più recenti ha sfruttato la vulnerabilità del plugin Elementor Pro. Le vecchie vulnerabilità sono tuttora sfruttate da Balada Injector perché i siti non sono stati aggiornati.

Il malware raccoglie numerose informazioni, tra cui credenziali dei database, archivi, log di accesso e file con dati sensibili. I cybercriminali cercano anche di sfruttare vulnerabilità dei tool di amministrazione (phpMyAdmin e altri) per creare account con privilegi elevati e usare la “forza bruta” per trovare le password.

Balada Injector installa infine varie backdoor per mantenere l’accesso remoto. Tutti i dati raccolti sono inviati ad un server C2 (command and control). Per limitare i rischi è consigliata l’installazione delle ultime versioni di plugin e temi. Ovviamente devono essere usate password robuste in abbinamento all’autenticazione in due fattori.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: Sucuri
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
10 apr 2023
Link copiato negli appunti