Il team di Red Hot Cyber, guidato da esperti anonimi, Davide Cavallini e Davide Santoro, ha scoperto che il link all’interno dell’email reindirizza verso un sito che ospita un finto documento PDF, apparentemente protetto da password. Un’indagine più approfondita ha rivelato che il link effettua un redirect tramite JavaScript, suggerendo la presenza di un attacco XSS (Cross-Site Scripting) persistente, in cui il codice dannoso viene eseguito all’interno del browser del visitatore.
L’analisi del codice JavaScript ha mostrato che questo raccoglie i dati degli utenti tramite un’API su un altro sito WordPress iraniano. Questa strategia di attacco non solo rappresenta una minaccia diretta per gli utenti che interagiscono con l’email di phishing, ma sottolinea anche vulnerabilità critiche nei sistemi informatici di alcune aziende italiane, esponendole a potenziali attacchi Man-in-the-Middle (MITM).
La campagna “Balada Injector” sfrutta una vulnerabilità nota come CVE-2023-6000 del plugin WordPress Popup Builder, eseguendo attacchi XSS per compromettere i siti web. Il team di Red Hot Cyber suggerisce diverse misure preventive per difendersi da questi attacchi di phishing, tra cui la formazione degli utenti, l’utilizzo di software di sicurezza, l’aggiornamento regolare di plugin e librerie, e l’implementazione di politiche di sicurezza rigorose.
La possibile connessione di questa campagna con l’APT iraniano MuddyWater, attivo dal 2017 e specializzato in cyberspionaggio, richiede un’attenta valutazione e un’azione immediata per proteggere i dati sensibili e mitigare i rischi per l’integrità delle operazioni aziendali italiane.
Source: Red Hot Cyber
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.