Balada Injector a frappé plus d'un million de sites WordPress

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .

Balada Injector qui sévit désormais depuis 2017, a compromis plus d’un million de sites WordPress et est encore en cours. Cette campagne utilise les vulnérabilités présentes dans les thèmes et plugins WordPress.

Balada Injector utilise la fonction String.fromCharCode afin de dissimuler sa charge malveillante. La campagne utilise des noms de domaine fraichement enregistrés dont les sous-domaines contiennent des scripts malveillant et fait de nombreuses redirections vers des sites d’arnaque. Ces derniers contiennent un faux support technique, des gains à des loteries frauduleuses ainsi qu’un faux CAPTCHA qui, si répondu, permet aux acteurs d’envoyer des spams.

La campagne utilise plus de 100 domaines et de nombreuses méthodes pour exploiter les vulnérabilités. Balada Injector semble viser principalement la collecte des identifiants, permettant de se connecter à la base de données, contenus dans le fichier wp-config.php. Balada Injector recherche aussi des fichiers à télécharger (dont les sauvegardes et les logs) ainsi que des DBMS (Database Management Systems) laissés suite à une maintenance par les administrateurs du site.

En somme, cette campagne vise la collecte massive d’informations directement sur le site WordPress, mais aussi sur l’hôte hébergeant ce dernier. Cette collecte d’informations permet à Balada Injector de créer de faux comptes d’administration WordPress ainsi que de mettre en place des backdoors supplémentaires pour garantir une persistance d’accès au système.

Recommandations

Balada Injector rappelle le besoin de respecter une hygiène informatique stricte en :

  • Garantissant que les thèmes, plugins et que le site WordPress sont à jour ;
  • Supprimant les plugins et thèmes obsolètes ou non utilisés ;
  • Utilisant des mots de passe forts pour les comptes d’administration ;
  • En mettant en place du MFA pour empêcher toute attaque par brute force.

Indices de compromission

https://blog.sucuri.net/2023/04/balada-injector-synopsis-of-a-massive-ongoing-wordpress-malware-campaign.html

Références

https://thehackernews.com/2023/04/over-1-million-wordpress-sites-infected.html

CERT-XMCO

Découvrir d'autres articles