Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .
Balada Injector qui sévit désormais depuis 2017, a compromis plus d’un million de sites WordPress et est encore en cours. Cette campagne utilise les vulnérabilités présentes dans les thèmes et plugins WordPress.
Balada Injector utilise la fonction String.fromCharCode afin de dissimuler sa charge malveillante. La campagne utilise des noms de domaine fraichement enregistrés dont les sous-domaines contiennent des scripts malveillant et fait de nombreuses redirections vers des sites d’arnaque. Ces derniers contiennent un faux support technique, des gains à des loteries frauduleuses ainsi qu’un faux CAPTCHA qui, si répondu, permet aux acteurs d’envoyer des spams.
La campagne utilise plus de 100 domaines et de nombreuses méthodes pour exploiter les vulnérabilités. Balada Injector semble viser principalement la collecte des identifiants, permettant de se connecter à la base de données, contenus dans le fichier wp-config.php. Balada Injector recherche aussi des fichiers à télécharger (dont les sauvegardes et les logs) ainsi que des DBMS (Database Management Systems) laissés suite à une maintenance par les administrateurs du site.
En somme, cette campagne vise la collecte massive d’informations directement sur le site WordPress, mais aussi sur l’hôte hébergeant ce dernier. Cette collecte d’informations permet à Balada Injector de créer de faux comptes d’administration WordPress ainsi que de mettre en place des backdoors supplémentaires pour garantir une persistance d’accès au système.
Recommandations
Balada Injector rappelle le besoin de respecter une hygiène informatique stricte en :
- Garantissant que les
thèmes,pluginset que le siteWordPresssont à jour ; - Supprimant les
pluginsetthèmesobsolètes ou non utilisés ; - Utilisant des mots de passe forts pour les comptes d’administration ;
- En mettant en place du
MFApour empêcher toute attaque par brute force.
Indices de compromission
Références
https://thehackernews.com/2023/04/over-1-million-wordpress-sites-infected.html
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article