Tausende von WordPress-Websites, die eine verwundbare Version des Popup Builder-Plugins verwenden, wurden mit Malware namens Balada Injector kompromittiert. Die Kampagne wurde erstmals im Januar 2023 von Doctor Web dokumentiert und findet in regelmäßigen Angriffswellen statt. Dabei werden Sicherheitslücken von WordPress-Plugins genutzt, um Backdoors einzufügen, die die Besucher infizierter Websites zu betrügerischen technischen Support-Seiten, gefälschten Lotteriegewinnen und Push-Benachrichtigungs-Scams umleiten sollen.
Sucuri hat weitere Erkenntnisse über das Ausmaß der Operation veröffentlicht. Demnach soll die Kampagne seit 2017 aktiv sein und bislang mindestens 1 Million Websites infiltriert haben. Am 13. Dezember 2023 wurde die neueste Aktivität des Balada Injector von der zur GoDaddy gehörenden Website-Sicherheitsfirma entdeckt. Dabei wurden über 7.100 Websites mit den Injektionen identifiziert.
Die Angriffe nutzen eine sicherheitsrelevante Schwachstelle in Popup Builder (${match}, CVSS-Score: 8,8) aus, einem Plugin mit über 200.000 aktiven Installationen. Die Schwachstelle wurde einen Tag zuvor von WPScan öffentlich bekannt gegeben. Das Problem wurde in der Version 4.2.3 behoben.
Das Hauptziel der Kampagne besteht darin, eine bösartige JavaScript-Datei auf specialcraftbox[.]com einzufügen und sie zu nutzen, um die Kontrolle über die Website zu übernehmen und zusätzliches JavaScript zu laden, um betrügerische Umleitungen zu ermöglichen.
Die Bedrohungsakteure hinter Balada Injector sind dafür bekannt, die Kontrolle über kompromittierte Websites zu festigen, indem sie Backdoors hochladen, bösartige Plugins hinzufügen und falsche Blog-Administratoren erstellen. Dies geschieht oft durch das gezielte Abfangen von JavaScript-Injektionen für angemeldete Website-Administratoren.
Die neue Angriffswelle ist keine Ausnahme, da sie, wenn angemeldete Admin-Cookies erkannt werden, die erhöhten Berechtigungen nutzt, um ein bösartiges Backdoor-Plugin („wp-felody.php“ oder „Wp Felody“) zu installieren und zu aktivieren, um dann eine Payload von der oben genannten Domain abzurufen.
Die Payload, ein weiteres Backdoor, wird unter dem Namen „sasas“ im Verzeichnis für temporäre Dateien gespeichert und anschließend auf der Festplatte ausgeführt und gelöscht.
Die modifizierte wp-blog-header.php-Datei wird in den erkannten Wurzelverzeichnissen der Websites geändert, um dieselbe Balada-JavaScript-Malware einzufügen, die ursprünglich über die Popup Builder-Schwachstelle injiziert wurde.