Balada Injector prende di mira i siti Web che utilizzano WordPress
Secondo Sucuri di GoDaddy, una massiccia campagna chiamata Balada Injector ha infettato più di un milione di siti Web WordPress con malware dal 2017. Gli aggressori utilizzano vari metodi e vulnerabilità per violare i siti WordPress, comprese le vulnerabilità di temi e plug-in. Gli attacchi si verificano a ondate ogni poche settimane e sono facilmente identificabili dal loro uso dell'offuscamento String.fromCharCode, nomi di dominio che ospitano script dannosi e reindirizzamenti a siti truffa.
Il malware è progettato per generare falsi utenti amministratori di WordPress, raccogliere dati archiviati sugli host e lasciare backdoor per l'accesso persistente. Gli aggressori cercano anche directory scrivibili appartenenti ad altri siti associati al file system del sito Web compromesso. Gli attacchi includono supporto tecnico falso, vincite fraudolente alla lotteria e pagine CAPTCHA canaglia che richiedono agli utenti di attivare le notifiche per verificare che non siano robot, consentendo agli aggressori di inviare annunci di spam.
Balada Injector ha fatto affidamento su oltre 100 domini e vari metodi, come HTML injection e Site URL, per sfruttare le falle di sicurezza note. Gli aggressori mirano principalmente a ottenere le credenziali del database memorizzate nel file wp-config.php. Il malware può leggere o scaricare file di siti arbitrari, inclusi backup, dump di database, file di registro e di errore e cercare strumenti come adminer e phpmyadmin lasciati dagli amministratori del sito.
Di recente, l'Unità 42 di Palo Alto Networks ha scoperto una simile campagna di iniezione di JavaScript dannoso che reindirizza i visitatori verso adware e pagine fuorvianti. Dal 2022 sono stati colpiti oltre 50.000 siti web.
In che modo gli hacker possono compromettere pagine legittime utilizzando l'iniezione di codice?
Gli hacker possono compromettere le pagine legittime utilizzando l'iniezione di codice sfruttando le vulnerabilità nel codice o nel software utilizzato per creare il sito Web. Esistono diversi tipi di attacchi di code injection, come SQL injection, Cross-Site Scripting (XSS) e Remote File Inclusion (RFI).
L'iniezione SQL comporta l'inserimento di codice SQL dannoso nella query del database di un sito Web, che può consentire a un utente malintenzionato di aggirare l'autenticazione, recuperare informazioni riservate o modificare il database.
XSS è un tipo di attacco injection che prende di mira gli utenti che visitano un sito Web, piuttosto che il sito Web stesso. Gli aggressori iniettano script dannosi nelle pagine Web visualizzate dagli utenti, consentendo loro di rubare cookie di sessione, reindirizzare gli utenti a siti di phishing o rubare credenziali di accesso.
RFI comporta l'iniezione di codice dannoso in una pagina Web sfruttando una vulnerabilità nel meccanismo di inclusione dei file di un'applicazione Web. Ciò consente all'attaccante di eseguire codice remoto sul server, che può portare al controllo completo del server Web e all'esposizione di informazioni sensibili.
Gli hacker possono anche utilizzare l'iniezione di codice per inserire codice dannoso in siti Web legittimi che possono portare alla diffusione di malware o tentativi di phishing. Per prevenire gli attacchi di code injection, è importante mantenere aggiornate le applicazioni Web e i plug-in, convalidare l'input dell'utente e utilizzare pratiche di codifica sicure.
