Balada Injector è un malware, in circolazione dal 2017, che ha già infettato un milione di WordPress.
“Da sempre le tecniche di attacco e di infezione”, commenta Pierguido Iezzi, Ceo di Swascan, “si basano su tre principi fondamentali”. Ecco quali sono. Come avviene lo schema di attacco e come mitigare il rischio.
Indice degli argomenti
La campagna malware Balada Injector contro WordPress
Balada Injector prende il nome dalla directory che si utilizza per la copia del client scritto in linguaggio Go. La sua principale opzione consiste nell’iniezione di codice infetto, grazie a falle nei temi e plugin. L’obiettivo è rubare archivi, credenziali dei database, log di accesso e file contenenti dati sensibili. Altre volte lo scopo è la creazione di account con privilegi elevati, sfruttando la forza bruta per defraudare le password.
Infatti, le tecniche di attacco e di infezione si basano su tre principi, essenzialmente: “Sfruttamento delle vulnerabilità tecnologiche di asset digitali esposti su internet, social engineering e la disponibilità delle credenziali di accesso”, continua Iezzi. “In questo caso, nulla di nuovo sotto il sole, il malware Balada Injector sfrutta una serie di nuove vulnerabilità scoperte sui siti WordPress”, avverte Iezzi.
Balada Injector sfrutta varie tipologie di iniezioni, adattandole alla falla. Una, in particolare, consente l’iniezione di codice HTML e JavaScript in temi e plugin, per accedere all’account amministratore.
Una volta rubate le credenziali del database, l’iniezione di codice passa alle pagine del sito, cambiando file e installando plugin infetti.
“Non c’è nulla di nuovo anche riguardo alla versatilità e adattabilità di Balada Injector. Come disse Charles Darwin: ‘Non è la specie più forte che sopravvive né la più intelligente, ma quella più pronta al cambiamento'”, spiega Iezzi.
Altri schemi di attacco prevedono infatti il caricamento di file arbitrari e iniezione di backdoor PHP, JavaScript e HTML. Le backdoor permettono di mantenere l’accesso remoto. L’invio dei dati trafugati è verso un server C2 (command and control). Balada Injector ha inoltre sfruttato la falla nel plugin Elementor Pro e vecchie vulnerabilità non risolte. Im altri casi ha sfruttato la falla dei tool di amministrazione (phpMyAdmin eccetera).
“Questo malware, in circolazione dal 2017, è un esempio emblematico dell’evoluzione costante dei malware e della loro capacità di adattarsi al contesto”, sottolinea Iezzi: “La sua versatilità si manifesta infatti nella capacità di iniettare diversi tipi di codice, come HTML, JavaScript e PHP, e allo stesso tempo si adatta allo scopo dell’attaccante o al contesto tecnologico attraverso il furto di credenziali, la modifica di file e l’installazione di plugin infetti”.
A identificare la campagna è “la preferenza per l’offuscamento via String.fromCharCode, l’uso di nomi di dominio, appena registrati, per ospitare script malevoli su sottodomini a caso e i redirect verso vari siti di scam”, conferma Denis Sinegubko, ricercatore di sicurezza di Sucuri di GoDaddy.
I siti web includono siti fasulli di supporto , lotterie fraudolente e pagine CAPTCHA malevole per ‘verificare che non sei un robot’, ma invece abilitano gli attori a inviare spam.
Come difendersi
Per mitigare il rischio, occorre applicare la patch appena avviene la segnalazione di nuove falle. Le vulnerabilità non risolte rimangono una porta d’ingresso anche per colpire più volte un sito. Oltre ad installare le ultime versioni di plugin e temi, bisogna utilizzare password robuste abbinate all’autenticazione a due fattori. Infatti, “le nuove vulnerabilità rappresentano un’opportunità per l’attaccante”, mette in guardia Iezzi, “operando in quella finestra di tempo tra la scoperta della vulnerabilità e il tempo necessario per le attività di patching”.
“Solo attraverso l’adozione di un framework di sicurezza olistico, che unisca sicurezza predittiva (CTI), sicurezza preventiva (analisi del rischio) e proattiva (SOC & IRT)“, evidenzia Iezzi, “è possibile gestire correttamente il rischio cyber emergente”.
Dunque, ” è fondamentale che tale framework abbia al contempo la capacità di apprendere, per poter essere versatile e adattabile al contesto in continua evoluzione”, conclude Iezzi.
