Een kwaadaardige campagne met de naam Balada Injector heeft naar verluidt sinds 2017 meer dan een miljoen WordPress-websites geïnfecteerd. GoDaddy’s Sucuri heeft opgemerkt dat de campagne gebruik maakt van alle bekende en recent ontdekte kwetsbaarheden in WordPress plugins en thema’s om de sites te infiltreren.

De aanvallers maken gebruik van een voorkeur voor String.fromCharCode puzzels, samen met vers geregistreerde domeinnamen die kwaadaardige scripts hosten op willekeurige subdomeinen, en redirects naar verschillende scam sites om de aanvallen uit te voeren.

De malware genereert valse WordPress admin gebruikers, oogst gegevens in de onderliggende hosts en laat backdoors achter voor blijvende toegang. Bovendien zoeken de aanvallen naar tools zoals admirer en phpmyadmin die sitebeheerders kunnen hebben achtergelaten bij het voltooien van onderhoudstaken, waardoor aanvallers willekeurige sitebestanden kunnen lezen of downloaden, waaronder back-ups en databasedumps, logboek- en foutbestanden.

Lees ook; Winter Vivern: “De nieuwste cyberdreiging gericht tegen Europese overheden”

Bovendien maakt de Balada Injector-campagne gebruik van meer dan 100 domeinen en vele methoden om misbruik te maken van bekende beveiligingslekken, waaronder HTML-injectie en Site URL’s. De aanvallers proberen voornamelijk databasegegevens te verkrijgen in het bestand wp-config.php, en de aanvallen leiden tot het lezen of downloaden van willekeurige sitebestanden.

De top-level directories van de gecompromitteerde site worden verder doorzocht op schrijfbare directories die aan andere sites toebehoren. Het compromitteren van slechts één site kan gratis toegang verlenen tot verschillende andere sites.

Als deze aanvalsroutes niet haalbaar zijn, wordt het beheerderswachtwoord geforceerd via een reeks van 74 vooraf gedefinieerde referenties. WordPress consumenten moeten hun website software up-to-date houden, ongebruikte plugins en thema’s verwijderen, en sterke WordPress admin wachtwoorden gebruiken.

Het rapport komt nadat Doctor Web een Linux-malwarefamilie ontdekte die gebruik maakt van gebreken in meer dan twee dozijn plugins en thema’s om kwetsbare WordPress-sites in gevaar te brengen. Weken later vond Palo Alto Networks Unit 42 een vergelijkbare venijnige JavaScript-injectiecampagne die websitebezoekers omleidt naar adware en scampagina’s, waardoor sinds 2022 meer dan 51.000 websites zijn getroffen.

De aanvallers gebruiken String.fromCharCode als een verbijsteringstechniek om kwaadaardige JS-code te injecteren op de homepages van gedetecteerde websites, mogelijk gericht op valide consumenten omdat zij eerder geneigd zijn de homepagina van de website te bezoeken.