Plus d’un million de sites web WordPress auraient été infectés par une campagne en cours visant à déployer un logiciel malveillant appelé Balada Injector depuis 2017.

La campagne massive, selon Sucuri de GoDaddy, « tire parti de toutes les vulnérabilités connues et récemment découvertes des thèmes et des plugins » pour pénétrer dans les sites WordPress. Les attaques sont connues pour se dérouler par vagues une fois toutes les quelques semaines.

« Cette campagne est facilement identifiable par sa préférence pour l’obscurcissement String.fromCharCode, l’utilisation de noms de domaine fraîchement enregistrés hébergeant des scripts malveillants sur des sous-domaines aléatoires, et par des redirections vers divers sites frauduleux », a déclaré Denis Sinegubko le chercheur en sécurité Denis Sinegubko.

Parmi ces sites figurent une fausse assistance technique, des gains frauduleux à la loterie et des pages CAPTCHA malveillantes invitant les utilisateurs à activer les notifications « Veuillez autoriser la vérification que vous n’êtes pas un robot », ce qui permet aux acteurs d’envoyer des publicités non sollicitées.

Le rapport s’appuie sur les récentes découvertes Doctor Web de Doctor Web, qui a décrit une famille de logiciels malveillants Linux exploitant les failles de plus de deux douzaines de plugins et de thèmes pour compromettre les sites WordPress vulnérables.

Entre-temps, Balada Injector s’est appuyé sur plus de 100 domaines et une pléthore de méthodes pour tirer parti de failles de sécurité connues (par exemple, injection HTML et URL de site), les attaquants tentant principalement d’obtenir les informations d’identification de la base de données dans le fichier wp-config.php.

En outre, les attaques sont conçues pour lire ou télécharger des fichiers de site arbitraires – y compris des sauvegardes, des vidages de base de données, des fichiers journaux et des fichiers d’erreur – ainsi que pour rechercher des outils tels que adminer et phpmyadmin qui auraient pu être laissés par les administrateurs de site lors de la réalisation de tâches de maintenance.

Le logiciel malveillant permet en fin de compte de créer de faux utilisateurs administrateurs WordPress, d’exploiter les données stockées dans les hôtes sous-jacents et de laisser des portes dérobées pour un accès persistant.

Balada Injector effectue en outre des recherches étendues dans les répertoires de premier niveau associés au système de fichiers du site web compromis afin de localiser les répertoires accessibles en écriture qui appartiennent à d’autres sites.

« Le plus souvent, ces sites appartiennent au webmestre du site compromis et ils partagent tous le même compte de serveur et les mêmes autorisations de fichiers », explique M. Sinegubko. De cette manière, la compromission d’un seul site peut potentiellement donner accès à plusieurs autres sites « gratuitement ».

Si ces voies d’attaque s’avèrent indisponibles, le mot de passe de l’administrateur est forcé brutalement à l’aide d’un ensemble de 74 informations d’identification prédéfinies. Il est donc recommandé aux utilisateurs de WordPress de maintenir le logiciel de leur site web à jour, de supprimer les plugins et les thèmes inutilisés et d’utiliser des mots de passe d’administrateur WordPress robustes.

Cette découverte intervient quelques semaines après que l’unité 42 de Palo Alto Networks a mis au jour une campagne similaire injection de JavaScript malveillant qui redirige les visiteurs d’un site vers des logiciels publicitaires et des pages d’escroquerie. Plus de 51 000 sites web ont été touchés depuis 2022.

L’activité, qui utilise également String.fromCharCode comme technique d’obscurcissement, conduit les victimes vers des pages piégées qui les incitent à activer les notifications push en se faisant passer pour une fausse vérification CAPTCHA afin de diffuser un contenu trompeur.

« Le code JS malveillant injecté était inclus dans la page d’accueil de plus de la moitié des sites web détectés », ont déclaré Les chercheurs de l’Unité 42. « Une tactique commune utilisée par les opérateurs de la campagne consistait à injecter du code JS malveillant dans des noms de fichiers JS fréquemment utilisés (par exemple, jQuery) qui sont susceptibles d’être inclus dans les pages d’accueil des sites web compromis.

« Cela aide potentiellement les attaquants à cibler les utilisateurs légitimes du site web, puisqu’ils sont plus susceptibles de visiter la page d’accueil du site web. »