Seleziona una pagina
lunedì, Apr 10

Balada Injector: campagna malware contro WordPress

Da Punto-Informatico.it :

Gli esperti di Sucuri hanno rilevato nuovi attacchi con Balada Injector negli ultimi mesi. Il malware circola dal 2017 e ha già colpito oltre un milione di siti WordPress. Il nome deriva dalla directory usata per copiare il client scritto in linguaggio Go e dalla sua principale funzionalità, ovvero quella di iniettare codice infetto, sfruttando vulnerabilità di temi e plugin.

Iniezioni multiple per siti WordPress

Balada Injector utilizza diversi tipi di iniezioni in base alla vulnerabilità. Una di essa permette di iniettare codice HTML e JavaScript in temi e plugin per ottenere accesso all’account amministratore. Dopo aver rubato le credenziali del database è possibile invece iniettare codice nelle pagine del sito, modificare file e installare plugin infetti.

In altri casi vengono caricati file arbitrari e iniettate backdoor PHP, JavaScript e HTML. Utilizzando diversi tipi di attacco è possibile colpire più volte lo stesso sito. Uno dei più recenti ha sfruttato la vulnerabilità del plugin Elementor Pro. Le vecchie vulnerabilità sono tuttora sfruttate da Balada Injector perché i siti non sono stati aggiornati.

Il malware raccoglie numerose informazioni, tra cui credenziali dei database, archivi, log di accesso e file con dati sensibili. I cybercriminali cercano anche di sfruttare vulnerabilità dei tool di amministrazione (phpMyAdmin e altri) per creare account con privilegi elevati e usare la “forza bruta” per trovare le password.

Balada Injector installa infine varie backdoor per mantenere l’accesso remoto. Tutti i dati raccolti sono inviati ad un server C2 (command and control). Per limitare i rischi è consigliata l’installazione delle ultime versioni di plugin e temi. Ovviamente devono essere usate password robuste in abbinamento all’autenticazione in due fattori.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.



Fonte Punto Informatico Source link

Exit mobile version