Lebih dari 17.000 situs WordPress disusupi pada bulan September 2023 oleh malware bernama Ballad Injector, hampir dua kali lipat jumlah yang ditemukan pada bulan Agustus.
Dilansir dari Cyberthreat Id, dari jumlah tersebut, terdapat 9.000 situs web yang diyakini telah disusupi karena kerentanan keamanan yang baru-baru ini diungkapkan di plugin tagDiv Composer (CVE-2023-3169, skor CVSS:6.1) dapat dieksploitasi oleh pengguna yang tidak diautentikasi untuk melakukan serangan skrip lintas situs (XSS).
Baca Juga : Waspada! Serangan ShellBot Terus Lakukan Eksploitasi pada Server SSH Linux
“Ini bukan pertama kalinya grup Balada Injector menargetkan kerentanan dalam tema premium tagDiv,” kata Denis Sinegubko, peneliti keamanan di Sucuri.
“Salah satu infeksi malware besar pertama yang kami kaitkan dengan kampanye ini terjadi pada musim panas 2017, ketika bug keamanan terungkap dalam tema WordPress Surat Kabar dan Majalah yang dieksploitasi secara aktif.”
Selanjutnya menurut laporan The Hacker News, Ballad Injector adalah operasi berskala besar yang pertama kali ditemukan oleh Doctor Web pada bulan Desember 2022, di mana pelaku kejahatan mengeksploitasi berbagai kerentanan plugin WordPress untuk menerapkan backdoor Linux pada sistem yang rentan.
Tujuan utama dari implan ini adalah untuk mengalihkan pengguna dari situs web yang disusupi ke halaman dukungan teknis palsu, kemenangan lotere palsu, dan penipuan pemberitahuan push. Lebih dari satu juta situs web telah terkena dampak kampanye ini sejak tahun 2017.
Serangan terkait Balada Injector terjadi dalam gelombang aktivitas berkala setiap beberapa minggu, dengan lonjakan infeksi terdeteksi setelah gelombang dimulai pada akhir pekan.
Pelanggaran terbaru mengklaim mengeksploitasi CVE-2023-3169 untuk memasukkan skrip berbahaya dan pada akhirnya membuat akses terus-menerus ke situs web dengan mengunduh backdoor, menambahkan plugin berbahaya, dan membuat admin, administrator blog jahat.
Sebelumnya, skrip ini menargetkan administrator situs WordPress yang login karena memungkinkan musuh melakukan tindakan jahat dengan hak istimewa yang lebih tinggi melalui antarmuka admin, termasuk membuat pengguna admin baru yang dapat mereka gunakan untuk melakukan serangan.
Sifat skrip yang berkembang pesat dibuktikan dengan kemampuannya untuk memasang backdoor ke halaman kesalahan 404 situs web, berpotensi mengeksekusi kode PHP sewenang-wenang atau sebagai alternatif mengeksploitasi kode yang tertanam di halaman untuk instalasi.plugin wp-zexit berbahaya secara otomatis.
Baca Juga : GoldDigger: Trojan perbankan Android baru yang mencuri informasi keuangan
Sucuri menggambarkan ini sebagai “salah satu serangan paling canggih” yang dilakukan oleh skrip, karena meniru seluruh proses instalasi plugin dari arsip ZIP dan proses aktivasinya.
Fungsi utama plugin mirip dengan backdoor, yaitu mengeksekusi kode PHP yang dikirim dari jarak jauh oleh penyerang. Gelombang serangan baru yang diamati pada akhir September 2023 mengklaim menggunakan injeksi kode acak untuk mengunduh dan meluncurkan malware tahap kedua dari server jarak jauh untuk menginstal plugin wp-zexit. Skrip yang dikaburkan juga digunakan untuk mengirim cookie pengunjung ke URL yang dikontrol agen dan mengembalikan pengambilan kode JavaScript yang tidak diketahui.
“Lokasi mereka di file situs web yang disusupi dengan jelas menunjukkan bahwa kali ini, alih-alih menggunakan kerentanan tagDiv Composer, penyerang mengeksploitasi backdoor mereka dan pengguna admin jahat dipasang setelah serangan berhasil pada situs web yang disusupi.” situs web,” jelas Sinegoubko
