In mehreren Kampagnen des sogenannten Balada Injectors wurden letzten Monat über 17.000 WordPress-Websites gehackt, indem bekannte Schwachstellen in Premium-Theme-Plugins ausgenutzt wurden. Balada Injector, erstmals im Dezember 2022 von Dr. Web entdeckt, nutzt diese Schwachstellen, um einen Linux-Backdoor einzuschleusen. Betroffene Websites leiten Besucher weiter zu gefälschten Tech-Support-Seiten, betrügerischen Lotteriegewinnen und Push-Benachrichtigungs-Betrug.
Laut einem Bericht von Sucuri aus dem April 2023 ist der Balada Injector seit 2017 aktiv und hat schätzungsweise fast eine Million WordPress-Websites kompromittiert.
Aktuelle Angriffskampagne
Die Angreifer nutzen eine Cross-Site-Scripting-Schwachstelle (CVE-2023-3169) im tagDiv Composer, einem Hilfswerkzeug für WordPress-Themes wie Newspaper und Newsmag. Die potenzielle Angriffsfläche beträgt bei kombinierten Verkäufen 155.500 Websites, ohne Raubkopien mitzuzählen.
Die neueste Kampagne begann Mitte September, kurz nachdem Details zur Schwachstelle veröffentlicht wurden. Ein charakteristisches Anzeichen für die Ausnutzung dieser Schwachstelle ist ein schädliches Skript, das in bestimmte Tags eingeschleust wird.
Sucuri hat insgesamt sechs verschiedene Angriffswellen beobachtet, von denen einige auch Varianten haben:
- Über 5.000 Websites wurden durch schädliche Skripte von stay.decentralappps[.]com kompromittiert.
- Verwendung von Skripten zur Erstellung betrügerischer WordPress-Administrator-Accounts.
- Ausnutzung des WordPress-Theme-Editors, um Backdoors in die 404.php-Datei des Newspaper-Themes einzufügen.
- Einführung des schädlichen Plugins wp-zexit.
- Einsatz von drei neuen Domains, was die Nachverfolgung und Erkennung erschwert.
- Angriffe nutzen nun promsmotion[.]com-Subdomains statt stay.decentralappps[.]com.
Insgesamt hat Sucuri den Balada Injector im September 2023 auf über 17.000 WordPress-Websites festgestellt.
Zum Schutz gegen Balada Injector wird empfohlen, das tagDiv Composer-Plugin auf Version 4.2 oder höher zu aktualisieren. Darüber hinaus sollten alle Themes und Plugins stets aktuell gehalten werden, inaktive Benutzerkonten entfernt und Dateien auf versteckte Backdoors überprüft werden. Sucuri bietet einen kostenlosen Scanner an, um die meisten Varianten des Balada Injectors zu erkennen.