Milhares de sites que executam o sistema de gerenciamento de conteúdo WordPress foram invadidos por um prolífico agente de ameaças que explorou uma vulnerabilidade recentemente corrigida em um plug-in amplamente utilizado.
O plugin vulnerável, conhecido como tagDiv Composer, é um requisito obrigatório para o uso de dois temas WordPress: Jornal e Revista. Os temas estão disponíveis nos marketplaces Theme Forest e Envato e possuem mais de 155 mil downloads.
Rastreada como CVE-2023-3169, a vulnerabilidade é conhecida como falha de cross-site scripting (XSS) que permite que hackers injetem código malicioso em páginas da web. Descoberto por pesquisador vietnamita Truoc Phana vulnerabilidade carrega uma classificação de gravidade de 7,1 em 10 possíveis. Foi parcialmente corrigida no tagDiv Composer versão 4.1 e totalmente corrigida na 4.2.
De acordo com um publicar de autoria do pesquisador de segurança Denis Sinegubko, os agentes de ameaças estão explorando a vulnerabilidade para injetar scripts da web que redirecionam os visitantes para vários sites fraudulentos. Os redirecionamentos levam a sites que promovem suporte técnico falso, ganhos fraudulentos em loterias e golpes de notificação push, o último dos quais engana os visitantes para que se inscrevam em notificações push, exibindo diálogos captcha falsos.
A Sucuri, empresa de segurança para a qual Sinegubko trabalha, acompanha a campanha de malware desde 2017 e a batizou de Balada. A Sucuri estima que nos últimos seis anos, Balada comprometeu mais de 1 milhão de sites. No mês passado, a Sucuri detectou injeções de Balada em mais de 17 mil locais, quase o dobro do número que a empresa havia visto no mês anterior. Mais de 9.000 das novas infecções foram o resultado de injeções possibilitadas pela exploração do CVE-2023-3169.
Sinegubko escreveu:
Observamos um ciclo rápido de modificações em seus scripts injetados junto com novas técnicas e abordagens. Vimos injeções aleatórias e tipos de ofuscação, uso simultâneo de vários domínios e subdomínios, abuso de CloudFlare e múltiplas abordagens para atacar administradores de sites WordPress infectados.
Setembro também foi um mês muito desafiador para milhares de usuários do tema tagDiv Newspaper. A campanha de malware Balada Injector realizou uma série de ataques visando tanto a vulnerabilidade no plugin tagDiv Composer quanto administradores de blogs de sites já infectados.
A Sucuri rastreou nada menos que seis ondas de injeções que aproveitam a vulnerabilidade. Embora cada onda seja distinta, todas contêm um script revelador injetado dentro destas tags:
<style id="tdw-css-placeholder"></style><script>...malicious injection…</script><style></style>
A injeção maliciosa usa código ofuscado para dificultar a detecção. Ele pode ser encontrado no banco de dados utilizado pelos sites WordPress, especificamente na opção “td_live_css_local_storage” da tabela wp_options.
O ator da ameaça Balada sempre tentou obter controle persistente sobre os sites que compromete. A maneira mais comum de fazer isso é injetando scripts que criam contas com privilégios de administrador. Se administradores reais detectarem e removerem os scripts de redirecionamento, mas permitirem que as contas de administrador falsas permaneçam, o agente da ameaça usará seu controle administrativo para adicionar um novo conjunto de scripts de redirecionamento maliciosos.
O pesquisador escreveu:
Os hackers do Balada Injector sempre buscam controle persistente sobre sites comprometidos, enviando backdoors, adicionando plug-ins maliciosos e criando administradores de blog desonestos. Neste caso, o [CVE-2023-3169] a vulnerabilidade não lhes permite atingir facilmente esse objetivo. No entanto, isso nunca impediu Balada de tentar assumir completamente o controle dos sites com vulnerabilidades XSS armazenadas.
Balada é conhecido há muito tempo por injetar scripts maliciosos direcionados a administradores de sites logados. A ideia é que quando um administrador de blog faz login em um site, seu navegador contém cookies que permitem realizar todas as tarefas administrativas sem precisar se autenticar em cada nova página. Portanto, se o navegador carregar um script que tenta emular a atividade do administrador, ele será capaz de fazer quase tudo que pode ser feito por meio da interface de administração do WordPress.
Qualquer pessoa que administra um site que usa os temas WordPress Newspaper ou Newsmag deve inspecionar cuidadosamente o site e os logs de eventos em busca de sinais de infecção, usando os vários indicadores de comprometimento incluídos na postagem da Sucuri. Conforme mencionado, os atores da ameaça Balada tentam obter acesso persistente aos sites que comprometem. Além de remover quaisquer scripts maliciosos adicionados, também é importante verificar a existência de código backdoor e a adição de contas de administrador.