在2023年12月中旬发起的一场运动中,有超过6,700个WordPress网站感染了Balada Injector恶意软件,这些网站使用了Popup Builder插件的脆弱版本。
最初由Web博士的研究人员记录,他们观察到协调攻击波利用WordPress主题和插件中的已知缺陷,后来发现Balada Injector是自2017年以来运行的大规模操作,已经危及超过17,000个WordPress站点。
这些攻击注入了一个后门,将被入侵网站的访问者重定向到虚假支持页面、彩票网站和推送通知骗局。
最新活动
最新的Balada注入运动启动于2023年12月13日,两天前WPScan报告了CVE-2023-6000,一个跨站点脚本(XSS)缺陷弹出生成器版本4.2.3和更高版本。
弹出生成器正被用于200,000个新的站点,用于构建用于营销、信息和功能目的的自定义弹出窗口。
网站安全公司Sucuri报告称,Balada Injector很快就加入了针对该漏洞的漏洞攻击,该漏洞劫持了弹出Builder中的“sgpbWillOpen”事件,并在弹出窗口启动时在站点数据库中执行恶意JavaScript代码。
Sucuri观察到,攻击者还通过修改wp-blog-header.php文件来注入相同的JavaScript后门,从而使用了二次感染的方法。
接下来,威胁参与者检查与管理相关的cookie,这些cookie允许他们加载各种脚本集以注入主后门,伪装成名为”wp-felody.php”的插件。
研究人员报告说,感染从来没有停止在第一步,并种植主后门总是在最初的突破。
“felody”后门的功能包括执行任意PHP代码、上传和执行文件、与攻击者通信以及获取额外的有效载荷。
目前,巴拉达注射器行动中被侵入的网站数量已达到6700个网站。
Sucuri对用于这些攻击的域的分析揭示了它们的注册模式,这表明有人试图掩盖攻击的真正来源,其中还涉及使用Cloudflare防火墙。
根据安全研究员Randy McEoin的说法,该活动中的重定向指向推送通知骗局。
防御Balada Injection攻击需要WordPress站点管理员将主题和插件更新到最新版本,卸载网站上不再支持或需要的产品。
在WordPress站点上保持尽可能少的活动插件可以减少攻击面,并将自动脚本泄露的风险降到最低。