Duizenden WordPress-sites die een kwetsbare versie van de Popup Builder-plug-in gebruiken, zijn gecompromitteerd met een zogenaamde malware Balada-injector.
De campagne, voor het eerst gedocumenteerd door Doctor Web in januari 2023, vindt plaats in een reeks periodieke aanvalsgolven, waarbij beveiligingsfouten worden bewapend met WordPress-plug-ins om een achterdeur te injecteren die is ontworpen om bezoekers van geïnfecteerde sites om te leiden naar valse technische ondersteuningspagina’s, frauduleuze loterijwinsten en oplichting met pushmeldingen .
Latere bevindingen van Sucuri hebben de enorme omvang van de operatie onthuld, die naar verluidt sinds 2017 actief was en sindsdien niet minder dan 1 miljoen sites heeft geïnfiltreerd.
Het websitebeveiligingsbedrijf van GoDaddy, dat op 13 december 2023 de laatste Balada Injector-activiteit detecteerde, zei dat het de injecties op meer dan 7.100 sites had geïdentificeerd.
Deze aanvallen maken gebruik van een zeer ernstige fout in Popup Builder (CVE-2023-6000, CVSS-score: 8,8) – een plug-in met meer dan 200.000 actieve installaties – die een dag eerder openbaar werd gemaakt door WPScan. Het probleem is verholpen in versie 4.2.3.
“Wanneer deze kwetsbaarheid met succes wordt uitgebuit, kunnen aanvallers elke actie uitvoeren die de ingelogde beheerder op wie zij zich richten, mag uitvoeren op de beoogde site, inclusief het installeren van willekeurige plug-ins en het creëren van nieuwe malafide beheerdersgebruikers”, aldus WPScan-onderzoeker Marc Montpas.
Het uiteindelijke doel van de campagne is het invoegen van een kwaadaardig JavaScript-bestand dat wordt gehost op specialcraftbox[.]com en gebruik het om de controle over de website over te nemen en extra JavaScript te laden om kwaadaardige omleidingen mogelijk te maken.
Bovendien is het bekend dat de bedreigingsactoren achter Balada Injector voortdurend controle uitoefenen over gecompromitteerde sites door backdoors te uploaden, kwaadaardige plug-ins toe te voegen en malafide blogbeheerders te creëren.
Dit wordt vaak bereikt door JavaScript-injecties te gebruiken die zich specifiek richten op ingelogde sitebeheerders.
“Het idee is dat wanneer een blogbeheerder inlogt op een website, zijn browser cookies bevat waarmee hij al zijn administratieve taken kan uitvoeren zonder dat hij zich op elke nieuwe pagina hoeft te authenticeren”, merkte Sucuri-onderzoeker Denis Sinegubko vorig jaar op.
“Dus als hun browser een script laadt dat beheerdersactiviteiten probeert na te bootsen, kan het vrijwel alles doen wat via de WordPress-beheerdersinterface kan worden gedaan.”
De nieuwe golf is hierop geen uitzondering, omdat als ingelogde beheerderscookies worden gedetecteerd, deze de verhoogde rechten bewapent om een frauduleuze achterdeurplug-in (“wp-felody.php” of “Wp Felody”) te installeren en te activeren om zo een tweede op te halen -stage payload van het bovengenoemde domein.
De payload, een andere achterdeur, wordt onder de naam “sasas” opgeslagen in de map waar tijdelijke bestanden zijn opgeslagen, en wordt vervolgens uitgevoerd en van schijf verwijderd.
“Het controleert tot drie niveaus boven de huidige map, op zoek naar de hoofdmap van de huidige site en andere sites die mogelijk hetzelfde serveraccount delen”, aldus Sinegubko.
“Vervolgens wijzigt het in de gedetecteerde hoofdmappen van de site het bestand wp-blog-header.php om dezelfde Balada JavaScript-malware te injecteren als oorspronkelijk geïnjecteerd via de Popup Builder-kwetsbaarheid.”
