Balada Injector attacks: 17.000 WordPress sites παραβιάστηκαν

Πολλαπλές εκστρατείες Balada Injector έχουν παραβιάσει και μολύνει πάνω από 17.000 WordPress sites χρησιμοποιώντας ευπάθειες στα premium theme plugins Newspaper και Newsmag του tagDiv.

Το Balada Injector είναι μια μαζική επιχείρηση που ανακαλύφθηκε πρώτη φορά τον Δεκέμβριο του 2022 από τη Dr. Web. Χρησιμοποιεί διάφορα exploits για γνωστά σφάλματα σε WordPress plugins και themes με στόχο τη διανομή ενός Linux backdoor.

Αυτό το backdoor ανακατευθύνει τους επισκέπτες των μολυσμένων sites σε ψεύτικες σελίδες υποστήριξης (tech support), απάτες με υποτιθέμενα κέρδη και push notification scams.

Τον Απρίλιο του 2023, η Sucuri ανέφερε ότι το Balada Injector είναι ενεργό από το 2017 και ότι εκτιμά ότι έχει παραβιάσει σχεδόν ένα εκατομμύριο WordPress sites.

Νέες επιθέσεις

Οι επιτιθέμενοι εκμεταλλεύονται την αδυναμία cross-site scripting (XSS) CVE-2023-3169 στο tagDiv Composer, ένα companion tool για τα θέματα Newspaper και Newsmag του tagDiv για ιστότοπους WordPress.

Λέγεται ότι το Newspaper έχει 137.000 πωλήσεις και το Newsmag πάνω από 18.500. Επομένως, επηρεάζονται συνολικά πάνω 155.500 sites (χωρίς να λαμβάνονται υπόψη οι παράνομες / πειρατικές αντιγραφές).

Δείτε επίσης: BlackCat ransomware: Ανέλαβε την ευθύνη για την επίθεση σε δικαστήρια της Φλόριντα

Τα Newspaper και Newsmag είναι premium themes.

Η πιο πρόσφατη εκστρατεία που στοχεύει την ευπάθεια CVE-2023-3169 ξεκίνησε τον Σεπτέμβριο, λίγο μετά την αποκάλυψη των λεπτομερειών της ευπάθειας και την κυκλοφορία ενός PoC (proof-of-concept exploit).

Αυτές οι επιθέσεις συμφωνούν με μια εκστρατεία που εντόπισε το BleepingComputer τον Σεπτέμβριο, όταν διαχειριστές ανέφεραν στο Reddit ότι πολλές ιστοσελίδες WordPress είχαν μολυνθεί με ένα κακόβουλο πρόσθετο με το όνομα wp-zexit.php. Το πρόσθετο επέτρεπε στους επιτιθέμενους να αποστέλλουν απομακρυσμένα κώδικα PHP που αποθηκευόταν στο αρχείο /tmp/i και εκτελούνταν.

Επιπλέον, σε αυτές τις επιθέσεις ο κώδικας ενσωματωνόταν σε templates και ανακατεύθυνε τους χρήστες σε scam sites.

“Γνωρίζουμε αυτές τις περιπτώσεις. Το κακόβουλο λογισμικό μπορεί να επηρεάσει ιστότοπους που χρησιμοποιούν παλαιότερες εκδόσεις των θεμάτων“, εξήγησε η tagDiv.

“Εκτός από την ενημέρωση του θέματος, η σύσταση είναι να εγκαταστήσετε αμέσως ένα πρόσθετο ασφαλείας, όπως το wordfence, και να σαρώσετε τον ιστότοπο. Επίσης, αλλάξτε όλους τους κωδικούς πρόσβασης του ιστότοπου“.

Σύμφωνα με τη Sucuri, αρκετές χιλιάδες ιστότοποι έχουν ήδη παραβιαστεί.

Ένα χαρακτηριστικό σημάδι της εκμετάλλευσης της ευπάθειας CVE-2023-3169 είναι ένα κακόβουλο script που εισάγεται σε συγκεκριμένα tags, ενώ το ίδιο το obfuscated injection βρίσκεται στον πίνακα ‘wp_options‘ της βάσης δεδομένων του ιστότοπου.

Δείτε επίσης: Οι κυβερνοεπιθέσεις στην “κρίσιμη υποδομή” αυξάνονται

Η Sucuri έχει εντοπίσει έξι ξεχωριστά κύματα επίθεσης, τα οποία συνοψίζονται παρακάτω:

1. Παραβίαση ιστότοπων WordPress με injection κακόβουλων scripts από το stay.decentralappps[.]com. Το σφάλμα επέτρεψε τη διάδοση κακόβουλου κώδικα σε δημόσιες σελίδες. Πάνω από 5.000 ιστότοποι επηρεάστηκαν από δύο παραλλαγές (4.000 και 1.000).
2. Χρήση κακόβουλου script για τη δημιουργία ψεύτικων WordPress administrator accounts. Αρχικά, χρησιμοποιήθηκε ένα όνομα χρήστη “greeceman”, αλλά οι επιτιθέμενοι το άλλαξαν σε ονόματα που δημιουργήθηκαν αυτόματα, με βάση το όνομα κεντρικού υπολογιστή του ιστότοπου.
3. Κατάχρηση του theme editor του WordPress για την ενσωμάτωση backdoors
   στο αρχείο 404.php του θέματος. Έτσι, επιτυγχάνεται persistence.
4. Οι επιτιθέμενοι άλλαξαν την εγκατάσταση του plugin wp-zexit που μιμούνταν τη συμπεριφορά διαχειριστή του WordPress και έκρυβε το backdoor στη διεπαφή Ajax του ιστότοπου.
5. Η εισαγωγή τριών νέων domains και το αυξημένο randomization στα injected scripts, τις διευθύνσεις URL και τους κώδικες που εισήχθησαν, κάνουν τον εντοπισμό πιο δύσκολο.
6. Οι επιθέσεις χρησιμοποιούν πλέον promsmotion[.]com subdomains αντί για stay.decentralappps[.]com και περιορίζουν την ανάπτυξη σε τρία συγκεκριμένα injections που εντοπίστηκαν σε 92, 76 και 67 ιστότοπους.

Η Sucuri έχει εντοπίσει το Balada Injector σε περισσότερα από 17.000 WordPress sites τον Σεπτέμβριο του 2023. Σε περισσότερες από τις μισές μολύνσεις (9.000) γίνεται εκμετάλλευση της ευπάθειας CVE-2023-3169.

Για να προστατευτείτε από επιθέσεις Balada Injector, αναβαθμίστε το tagDiv Composer plugin στην έκδοση 4.2 ή μεταγενέστερη.

Επίσης, διατηρήστε ενημερωμένα όλα τα θέματα και τα πρόσθετα σας, αφαιρέστε ανενεργούς λογαριασμούς χρηστών και σαρώστε τα αρχεία σας για πιθανά κρυφά backdoors.

Δείτε επίσης: Το Formbook είναι το πιο ευρέως διαδεδομένο malware

Το δωρεάν εργαλείο σάρωσης της Sucuri ανιχνεύει τις περισσότερες εκδόσεις του Balada Injector, οπότε ίσως θέλετε να το χρησιμοποιήσετε για να δείτε αν έχει παραβιαστεί το site σας.

Βασικά μέτρα ασφαλείας για το WordPress

1. Ενημερωμένες εκδόσεις: Διατηρείστε τα themes, τα plugins και την ίδια την πλατφόρμα WordPress ενημερωμένα στις τελευταίες εκδόσεις. Ανανεωμένες εκδόσεις συνήθως περιλαμβάνουν διορθώσεις σε κενά ασφαλείας που ανακαλύπτονται.
2. Ισχυρή πολιτική κωδικών πρόσβασης: Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και αλλάζετέ τους τακτικά. Όσο πιο πολύπλοκοι και μοναδικοί είναι οι κωδικοί πρόσβασης, τόσο πιο δύσκολο είναι για τους hackers να τους αποκτήσουν.
3. Ασφαλής φιλοξενία: Η επιλογή ενός αξιόπιστου και ασφαλούς provider φιλοξενίας είναι άκρως σημαντική. Μια καλή επιλογή φιλοξενίας θα προστατεύσει το site σας από επιθέσεις DDoS.

Μην επαναπαύεστε στην ασφάλεια του WordPress site σας

Πρέπει να έχετε στο νου σας, ότι κατά καιρούς χρειάζεται σκληρή δουλειά για να προστατεύσετε το site σας, αλλά μην αφήνετε τον φόβο να σας κατακλύσει. Το να είστε προετοιμασμένοι και να φροντίζετε για την ασφάλεια του site σας είναι απλά μέρος του να είστε ιδιοκτήτης ενός επιτυχημένου website. 

Πηγή: www.bleepingcomputer.com