V září 2023 bylo malwarem známým jako Balada Injector napadeno více než 17 000 webových stránek vytvořených pomocí WordPressu, což je téměř dvakrát více než v srpnu. Informoval o tom server The Hacker News a BleepingComputer.
Balada Injector je rozsáhlá operace objevená v prosinci 2022. Využívá exploity ve WordPress pluginech a šablonách k injektování malwaru. Ten potom přesměrovává návštěvníky napadených webových stránek na falešné stránky technické podpory, podvodné výhry v loterii a podvodná push oznámení. V dubnu 2023 společnost Sucuri oznámila, že operace Balada Injector je aktivní od roku 2017, a odhadla, že ohrozila téměř milion WordPress webů.
️♂️ Over 17,000 #WordPress sites hit by Balada Injector #malware in Sept 2023, double the August numbers.
Find out how attackers exploiting vulnerabilties to inject malicious scripts and gain persistent access.
Read details: https://t.co/nolXJmS91R#cybersecurity #hacking
— The Hacker News (@TheHackersNews) October 11, 2023
Zranitelnost v pluginu tagDiv Composer
Z napadených webových stránek v minulém měsíci bylo údajně 9 000 infiltrováno pomocí nedávno odhalené bezpečnostní chyby v pluginu tagDiv Composer (popsána jako CVE-2023-3169), kterou mohli zneužít neautentizovaní uživatelé k útokům typu XSS (cross-site scripting). TagDiv Composer je doprovodný nástroj pro šablony Newspaper a Newsmag od společnosti tagDiv pro WordPress weby.
Podle veřejných statistik společnosti Envato má šablona Newspaper 137 000 prodejů a Newsmag přes 18 500. Ohrožených tedy bylo minimálně 155 500 webových stránek, bez započítání pirátských kopií. V obou případech se jedná o prémiové (placené) šablony, které často používají i velké online platformy.
Zástupce společnosti tagDiv potvrdil, že o chybě vědí, a doporučil lidem, aby si nainstalovali nejnovější verzi šablony, která útokům zabrání. „O těchto případech víme. Škodlivý software může ovlivnit webové stránky používající starší verze šablony,“ vysvětlil. „Kromě aktualizace šablony doporučujeme okamžitě nainstalovat bezpečnostní plugin, například wordfence, a webové stránky zkontrolovat. Změňte také všechna hesla k webu.“
Jak uvádí server BleepingComputer, zranitelnost CVE-2023-3169 umožňuje injektování škodlivého skriptu a nakonec k vytvoření trvalého přístupu k webům nahráním zadních vrátek a přidáním škodlivých pluginů. Historicky se tyto skripty zaměřovaly na přihlášené správce webů, protože umožňují útočníkovi provádět škodlivé akce se zvýšenými právy prostřednictvím rozhraní správce, včetně vytváření nových uživatelů, které může využít k dalším útokům.
Útoky minulý měsíc byly provedeny v šesti vlnách, z nichž některé měly i různé varianty. Jednotlivé vlny používaly trochu jiný vektor útoku a stahovaly škodlivé skripty z různých domén. Vlny byly rychle optimalizovány, což naznačuje, že skupina, která za útokem stojí, umí rychle přizpůsobit své techniky, aby dosáhla maximálního dopadu.