Se un sito reindirizza i visitatori verso siti di truffa, è probabile che sia stato violato da Balada.
Migliaia di siti che utilizzano il sistema di gestione dei contenuti WordPress sono stati violati da un prolifico attore di minacce che ha sfruttato una vulnerabilità recentemente patchata in un plugin molto utilizzato.
Il plugin vulnerabile, noto come tagDiv Composer, è un requisito obbligatorio per l’utilizzo di due temi di WordPress: Newspaper e Newsmag. I temi sono disponibili sui mercati Theme Forest ed Envato e hanno superato i 155.000 download.
Rintracciata come CVE-2023-3169, la vulnerabilità è nota come falla di cross-site scripting (XSS) che consente agli hacker di iniettare codice dannoso nelle pagine web. Scoperta dal ricercatore vietnamita Truoc Phan, la vulnerabilità ha una valutazione di gravità pari a 7,1 su un massimo di 10. È stata parzialmente risolta in tagDivr. È stata parzialmente risolta nella versione 4.1 di tagDiv Composer e completamente patchata nella versione 4.2.
Secondo un post scritto dal ricercatore di sicurezza Denis Sinegubko, gli attori delle minacce stanno sfruttando la vulnerabilità per iniettare script web che reindirizzano i visitatori a vari siti di truffa. I reindirizzamenti portano a siti che propongono un falso supporto tecnico, vincite fraudolente a lotterie e truffe con notifiche push, queste ultime inducono i visitatori a sottoscrivere notifiche push visualizzando finte finestre di dialogo captcha.
Sucuri, l’azienda di sicurezza per cui lavora Sinegubko, sta monitorando la campagna di malware dal 2017 e l’ha battezzata Balada. Sucuri stima che negli ultimi sei anni Balada abbia compromesso più di 1 milione di siti. Il mese scorso, Sucuri ha rilevato iniezioni di Balada su oltre 17.000 siti, quasi il doppio rispetto al mese precedente. Più di 9.000 delle nuove infezioni erano il risultato di iniezioni rese possibili dallo sfruttamento di CVE-2023-3169.
Sinegubko ha scritto:
Abbiamo osservato un rapido ciclo di modifiche agli script iniettati insieme a nuove tecniche e approcci. Abbiamo visto iniezioni e tipi di offuscamento randomizzati, l’uso simultaneo di più domini e sottodomini, l’abuso di CloudFlare e approcci multipli per attaccare gli amministratori dei siti WordPress infetti.
Settembre è stato anche un mese molto impegnativo per migliaia di utenti del tema tagDiv Newspaper. La campagna malware Balada Injector ha eseguito una serie di attacchi mirati sia alla vulnerabilità del plugin tagDiv Composer sia agli amministratori di blog di siti già infetti.
Sucuri ha monitorato non meno di sei ondate di iniezioni che sfruttano la vulnerabilità. Sebbene ogni ondata sia diversa, tutte contengono uno script rivelatore iniettato all’interno di questi tag:
L’iniezione dannosa utilizza codice offuscato per renderlo difficile da rilevare. Si trova nel database utilizzato dai siti WordPress, in particolare nell’opzione “td_live_css_local_storage” della tabella wp_options.
L’attore delle minacce Balada ha sempre cercato di ottenere un controllo persistente sui siti web che compromette. Il modo più comune per farlo è iniettare script che creano account con privilegi di amministratore. Se gli amministratori reali rilevano e rimuovono gli script di reindirizzamento, ma permettono agli account di amministrazione fasulli di rimanere, l’attore della minaccia utilizza il suo controllo amministrativo per aggiungere una nuova serie di script di reindirizzamento dannosi.
Il ricercatore ha scritto:
Gli hacker di Balada Injector mirano sempre a un controllo persistente sui siti compromessi caricando backdoor, aggiungendo plugin dannosi e creando amministratori di blog disonesti. In questo caso, la vulnerabilità [CVE-2023-3169] non consente loro di raggiungere facilmente questo obiettivo. Tuttavia, questo non ha mai impedito a Balada di tentare di conquistare completamente i siti con le vulnerabilità XSS memorizzate.
Balada è noto da tempo per l’iniezione di script dannosi che prendono di mira gli amministratori dei siti connessi. L’idea è che quando l’amministratore di un blog accede a un sito web, il suo browser contiene dei cookie che gli consentono di svolgere tutte le attività amministrative senza doversi autenticare a ogni nuova pagina. Quindi, se il loro browser carica uno script che cerca di emulare l’attività dell’amministratore, sarà in grado di fare quasi tutto ciò che può essere fatto tramite l’interfaccia di amministrazione di WordPress.
Chiunque amministri un sito che utilizza i temi WordPress Newspaper o Newsmag dovrebbe ispezionare attentamente sia il sito che i log degli eventi alla ricerca di segni di infezione, utilizzando i numerosi indicatori di compromissione inclusi nel post di Sucuri. Come già detto, gli attori delle minacce Balada cercano di ottenere un accesso persistente ai siti che compromettono. Oltre a rimuovere eventuali script dannosi aggiunti, è importante verificare la presenza di codice backdoor e l’aggiunta di account di amministrazione.
