Cyberthreat.id - Lebih dari 17.000 situs WordPress telah disusupi pada bulan September 2023 dengan malware yang dikenal sebagai Balada Injector, hampir dua kali lipat jumlah deteksi pada bulan Agustus.

Dari jumlah tersebut, tulis The Hacker News, 9.000 situs web dikatakan telah disusupi menggunakan kelemahan keamanan yang baru-baru ini diungkapkan pada plugin tagDiv Composer (CVE-2023-3169, skor CVSS: 6.1) yang dapat dieksploitasi oleh pengguna yang tidak diautentikasi untuk melakukan penyimpanan skrip lintas situs (XSS) serangan.

“Ini bukan pertama kalinya geng Balada Injector menargetkan kerentanan dalam tema premium tagDiv,” kata peneliti keamanan Sucuri Denis Sinegubko.

“Salah satu suntikan malware besar-besaran paling awal yang dapat kami kaitkan dengan kampanye ini terjadi pada musim panas 2017, ketika bug keamanan yang terungkap pada tema WordPress Surat Kabar dan Majalah Berita disalahgunakan secara aktif.”

The Hacker News menyebutkan Balada Injector adalah operasi berskala besar yang pertama kali ditemukan oleh Doctor Web pada bulan Desember 2022, di mana pelaku ancaman mengeksploitasi berbagai kelemahan plugin WordPress untuk menerapkan pintu belakang Linux pada sistem yang rentan.

Tujuan utama dari implan ini adalah untuk mengarahkan pengguna situs yang disusupi ke halaman dukungan teknis palsu, kemenangan lotere palsu, dan penipuan pemberitahuan push. Lebih dari satu juta situs web telah terkena dampak kampanye ini sejak tahun 2017.

Serangan yang melibatkan Balada Injector terjadi dalam bentuk gelombang aktivitas berulang yang terjadi setiap beberapa minggu, dengan lonjakan infeksi terdeteksi pada hari Selasa setelah dimulainya gelombang pada akhir pekan.

Rangkaian pelanggaran terbaru memerlukan eksploitasi CVE-2023-3169 untuk memasukkan skrip berbahaya dan pada akhirnya membangun akses terus-menerus ke situs dengan mengunggah pintu belakang, menambahkan plugin berbahaya, dan membuat administrator blog jahat.

Secara historis, skrip ini menargetkan administrator situs WordPress yang login, karena skrip ini memungkinkan musuh melakukan tindakan jahat dengan hak istimewa yang lebih tinggi melalui antarmuka admin, termasuk membuat pengguna admin baru yang dapat mereka gunakan untuk serangan lanjutan.

Sifat skrip yang berkembang pesat dibuktikan dengan kemampuannya memasang pintu belakang di halaman kesalahan 404 situs web yang mampu mengeksekusi kode PHP sewenang-wenang, atau, sebagai alternatif, memanfaatkan kode yang tertanam di halaman untuk menginstal plugin wp-zexit yang berbahaya. secara otomatis.

Sucuri menggambarkannya sebagai "salah satu jenis serangan paling kompleks" yang dilakukan oleh skrip, karena skrip tersebut meniru seluruh proses pemasangan plugin dari file arsip ZIP dan mengaktifkannya.

Fungsi inti plugin sama dengan backdoor, yaitu mengeksekusi kode PHP yang dikirim dari jarak jauh oleh pelaku ancaman.

Gelombang serangan baru yang diamati pada akhir September 2023 memerlukan penggunaan suntikan kode acak untuk mengunduh dan meluncurkan malware tahap kedua dari server jarak jauh untuk menginstal plugin wp-zexit.

Juga digunakan skrip yang dikaburkan yang mengirimkan cookie pengunjung ke URL yang dikontrol aktor dan sebagai imbalannya mengambil kode JavaScript yang tidak ditentukan.

“Penempatan mereka dalam file situs yang disusupi dengan jelas menunjukkan bahwa kali ini alih-alih menggunakan kerentanan tagDiv Composer, penyerang memanfaatkan pintu belakang mereka dan pengguna admin jahat yang telah ditanam setelah serangan berhasil terhadap admin situs web,” jelas Sinegubko. []