Injecteur Balada

Selon des chercheurs en sécurité, une campagne d'attaque en cours diffusant des logiciels malveillants suivis comme l'injecteur Balada a réussi à infecter plus d'un million de sites Web WordPress. On pense que l'opération malveillante est active depuis au moins 2017. Les cybercriminels utilisent un large éventail de techniques différentes pour exploiter les vulnérabilités connues et récemment découvertes dans les thèmes et plugins WordPress, leur permettant d'accéder aux sites Web ciblés.

Le rapport détaillant l'injecteur Balada, publié par la société de sécurité Sucuri, indique que de nouvelles vagues d'attaques ont lieu toutes les deux semaines. Il existe plusieurs signes distinctifs de cette activité malveillante particulière, notamment l'utilisation de l'obfuscation String.fromCharCode, le déploiement de mauvais scripts sur les noms de domaine nouvellement enregistrés et les redirections vers divers sites frauduleux. Les sites Web infectés sont utilisés à diverses fins frauduleuses, y compris le faux support technique, les fraudes à la loterie et les pages CAPTCHA escrocs qui incitent les utilisateurs à activer les notifications pour vérifier qu'ils ne sont pas des robots, permettant ainsi aux attaquants d'envoyer des spams.

L'injecteur Balada exploite de nombreuses faiblesses de sécurité

Au cours de son déploiement, la menace Balada Injector a utilisé plus de 100 domaines et diverses méthodes pour exploiter des faiblesses de sécurité bien connues, telles que l'injection HTML et l'URL du site. L'objectif principal des attaquants était d'accéder aux informations d'identification de la base de données stockées dans le fichier wp-config.php.

De plus, les attaques sont conçues pour accéder et télécharger des fichiers de site importants tels que des sauvegardes, des vidages de base de données, des fichiers journaux et des fichiers d'erreurs. Ils recherchent également tous les outils restants comme adminer et phpmyadmin que les administrateurs du site peuvent avoir laissés après avoir effectué des tâches de maintenance. Cela offre aux attaquants un plus large éventail d'options pour compromettre le site Web et voler des données sensibles.

L'injecteur Balada fournit un accès par porte dérobée aux cybercriminels

Le malware Balada Injector a la capacité de générer des utilisateurs administrateurs WordPress frauduleux, de collecter des données stockées dans les hôtes sous-jacents et de laisser des portes dérobées qui fournissent un accès persistant au système.

De plus, Balada Injector effectue des recherches approfondies dans les répertoires de niveau supérieur du système de fichiers du site Web compromis pour identifier les répertoires inscriptibles appartenant à d'autres sites. En règle générale, ces sites appartiennent au même webmaster et partagent le même compte de serveur et les mêmes autorisations de fichiers. Ainsi, la compromission d'un site peut potentiellement donner accès à plusieurs autres sites, ce qui étend encore l'attaque.

Si ces méthodes échouent, le mot de passe administrateur est deviné avec force via un ensemble de 74 informations d'identification prédéterminées. Pour prévenir ces types d'attaques, les utilisateurs de WordPress sont fortement encouragés à maintenir leur logiciel de site Web à jour, à supprimer tous les plugins et thèmes inutilisés et à utiliser des mots de passe forts pour leurs comptes d'administrateur WordPress.