Une campagne malveillante nommée Balada Injector aurait infecté plus d’un million de sites web WordPress depuis 2017. Sucuri, de GoDaddy, a noté que la campagne exploite toutes les vulnérabilités connues et récemment découvertes dans les plugins et les thèmes WordPress pour infiltrer les sites.

Les attaquants utilisent une préférence pour les énigmes String.fromCharCode, ainsi que des noms de domaine fraîchement enregistrés hébergeant des scripts malveillants sur des sous-domaines aléatoires, et des redirections vers divers sites d’escroquerie pour mener à bien leurs attaques.

Le logiciel malveillant génère de faux utilisateurs administrateurs WordPress, récolte des données dans les hôtes sous-jacents et laisse des portes dérobées pour un accès continu. En outre, les attaques recherchent des outils tels que admirer et phpmyadmin que les administrateurs de sites auraient pu laisser derrière eux après avoir effectué des tâches de maintenance, ce qui permet aux attaquants de lire ou de télécharger des fichiers de sites arbitraires, y compris des sauvegardes et des vidages de bases de données, des fichiers journaux et des fichiers d’erreur.

A lire également : Winter Vivern : « La dernière cybermenace ciblant les gouvernements européens

En outre, la campagne Balada Injector s’appuie sur plus de 100 domaines et de nombreuses méthodes pour exploiter les failles de sécurité connues, notamment l’injection de code HTML et les URL de sites. Les attaquants tentent principalement d’obtenir les identifiants de la base de données dans le fichier wp-config.php, et l’ingénieur responsable de l’attaque de lire ou de télécharger des fichiers arbitraires du site.

Les annuaires de premier niveau du site compromis font l’objet d’une recherche supplémentaire pour trouver des annuaires inscriptibles appartenant à d’autres sites. La compromission d’un seul site peut permettre d’accéder gratuitement à plusieurs autres sites.

Si ces voies d’attaque sont inaccessibles, le mot de passe de l’administrateur est forcé par un lot de 74 informations d’identification prédéfinies. Les utilisateurs de WordPress doivent maintenir le logiciel de leur site web à jour, désinstaller les plugins et les thèmes inutilisés et utiliser des mots de passe d’administrateur WordPress robustes.

Ce rapport fait suite à la découverte par Doctor Web d’une famille de logiciels malveillants Linux qui exploite les failles de plus de deux douzaines de plugins et de thèmes pour mettre en péril les sites WordPress vulnérables. Quelques semaines plus tard, l’unité 42 de Palo Alto Networks a découvert une campagne d’injection JavaScript vicieuse comparable qui redirige les visiteurs de sites vers des logiciels publicitaires et des pages d’escroquerie, affectant plus de 51 000 sites web depuis 2022.

Les attaquants utilisent String.fromCharCode comme technique de confusion pour injecter du code JS malveillant sur les pages d’accueil des sites web détectés, ciblant potentiellement les consommateurs valides car ils sont plus susceptibles de visiter la page d’accueil du site web.