Balada Injector cible les sites Web utilisant WordPress

Selon Sucuri de GoDaddy, une campagne massive nommée Balada Injector a infecté plus d'un million de sites Web WordPress avec des logiciels malveillants depuis 2017. Les attaquants utilisent diverses méthodes et vulnérabilités pour violer les sites WordPress, y compris les vulnérabilités des thèmes et des plugins. Les attaques se produisent par vagues toutes les quelques semaines et sont facilement identifiables par leur utilisation de l'obscurcissement String.fromCharCode, les noms de domaine hébergeant des scripts malveillants et les redirections vers des sites frauduleux.

Le logiciel malveillant est conçu pour générer de faux utilisateurs administrateurs WordPress, récolter des données stockées sur les hôtes et laisser des portes dérobées pour un accès persistant. Les attaquants recherchent également des répertoires inscriptibles appartenant à d'autres sites associés au système de fichiers du site Web compromis. Les attaques incluent un faux support technique, des gains de loterie frauduleux et des pages CAPTCHA escrocs qui invitent les utilisateurs à activer les notifications pour vérifier qu'ils ne sont pas des robots, permettant aux attaquants d'envoyer des spams.

Balada Injector s'est appuyé sur plus de 100 domaines et diverses méthodes, telles que l'injection HTML et l'URL du site, pour exploiter les failles de sécurité connues. Les attaquants visent principalement à obtenir les informations d'identification de la base de données stockées dans le fichier wp-config.php. Le logiciel malveillant peut lire ou télécharger des fichiers de site arbitraires, y compris des sauvegardes, des vidages de base de données, des fichiers journaux et d'erreurs, et rechercher des outils tels que adminer et phpmyadmin laissés par les administrateurs de site.

Récemment, l'unité 42 de Palo Alto Networks a découvert une campagne d'injection JavaScript malveillante similaire qui redirige les visiteurs vers des logiciels publicitaires et des pages trompeuses. Plus de 50 000 sites Web ont été touchés depuis 2022.

Comment les pirates peuvent-ils compromettre des pages légitimes en utilisant l'injection de code ?

Les pirates peuvent compromettre des pages légitimes en utilisant l'injection de code en exploitant les vulnérabilités du code ou du logiciel utilisé pour créer le site Web. Il existe plusieurs types d'attaques par injection de code, telles que l'injection SQL, le Cross-Site Scripting (XSS) et l'inclusion de fichiers à distance (RFI).

L'injection SQL consiste à insérer un code SQL malveillant dans la requête de la base de données d'un site Web, ce qui peut permettre à un attaquant de contourner l'authentification, de récupérer des informations sensibles ou de modifier la base de données.

XSS est un type d'attaque par injection qui cible les utilisateurs visitant un site Web, plutôt que le site Web lui-même. Les attaquants injectent des scripts malveillants dans les pages Web consultées par les utilisateurs, leur permettant de voler des cookies de session, de rediriger les utilisateurs vers des sites de phishing ou de voler des identifiants de connexion.

RFI consiste à injecter un code malveillant dans une page Web en exploitant une vulnérabilité dans le mécanisme d'inclusion de fichier d'une application Web. Cela permet à l'attaquant d'exécuter du code à distance sur le serveur, ce qui peut conduire à un contrôle complet du serveur Web et à l'exposition d'informations sensibles.

Les pirates peuvent également utiliser l'injection de code pour insérer du code malveillant dans des sites Web légitimes, ce qui peut entraîner la propagation de logiciels malveillants ou des tentatives de phishing. Pour prévenir les attaques par injection de code, il est important de maintenir à jour les applications Web et les plug-ins, de valider les entrées des utilisateurs et d'utiliser des pratiques de codage sécurisées.