Eine bösartige Kampagne namens Balada Injector hat Berichten zufolge seit 2017 über eine Million WordPress-Websites infiziert. Sucuri von GoDaddy hat festgestellt, dass die Kampagne alle bekannten und kürzlich entdeckten Schwachstellen in WordPress-Plugins und Themes ausnutzt, um die Websites zu infiltrieren.

Die Angreifer nutzen eine Vorliebe für String.fromCharCode-Verwirrungen sowie frisch registrierte Domainnamen, die bösartige Skripte auf zufälligen Subdomains hosten, und Weiterleitungen zu verschiedenen Betrugsseiten, um die Angriffe auszuführen.

Die Malware generiert gefälschte WordPress-Administrator-Benutzer, sammelt Daten auf den zugrunde liegenden Hosts und hinterlässt Hintertüren für weiteren Zugriff. Außerdem suchen die Angreifer nach Tools wie admirer und phpmyadmin, die Website-Administratoren bei der Durchführung von Wartungsarbeiten zurückgelassen haben könnten, und ermöglichen es den Angreifern, beliebige Website-Dateien zu lesen oder herunterzuladen, darunter Backups und Datenbank-Dumps, Protokoll- und Fehlerdateien.

Lesen Sie auch: Winter Vivern: „Die neueste Cyber-Bedrohung für europäische Regierungen“

Darüber hinaus stützt sich die Balada Injector-Kampagne auf über 100 Domänen und viele Methoden, um bekannte Sicherheitslücken auszunutzen, darunter HTML-Injection und Site-URLs. Die Angreifer versuchen in erster Linie, Datenbank-Zugangsdaten in der Datei wp-config.php zu erlangen, und die Angreifer versuchen, beliebige Site-Dateien zu lesen oder herunterzuladen.

Die Verzeichnisse der obersten Ebene der kompromittierten Website werden weiter nach beschreibbaren Verzeichnissen durchsucht, die zu anderen Websites gehören. Die Kompromittierung einer einzigen Website kann den kostenlosen Zugang zu mehreren anderen Websites ermöglichen.

Wenn diese Angriffswege unerreichbar sind, wird das Administratorkennwort durch einen Stapel von 74 vordefinierten Anmeldeinformationen erzwungen. WordPress-Nutzer müssen ihre Website-Software auf dem neuesten Stand halten, unbenutzte Plugins und Themes deinstallieren und sichere WordPress-Administrator-Passwörter verwenden.

Der Bericht kommt, nachdem Doctor Web eine Linux-Malware-Familie entdeckt hat, die Schwachstellen in mehr als zwei Dutzend Plugins und Themes ausnutzt, um anfällige WordPress-Sites zu gefährden. Wochen später entdeckte Palo Alto Networks Unit 42 eine vergleichbare bösartige JavaScript-Injection-Kampagne, die Website-Besucher auf Adware- und Betrugsseiten umleitet und seit 2022 über 51.000 Websites betrifft.

Die Angreifer verwenden String.fromCharCode als Verwirrungstechnik, um bösartigen JS-Code auf den Homepages der entdeckten Websites einzuschleusen und so potenziell gültige Kunden anzusprechen, da diese mit größerer Wahrscheinlichkeit die Homepage der Website besuchen.