Acest malware a fost observat pentru prima dată în 2017 și a continuat să infecteze peste un milion de site-uri care rulează WordPress. Iată ce trebuie să știți.

WordPress nu este străin de atacurile cibernetice, iar acum a suferit un alt exploit, prin care peste un milion de site-uri au fost infectate. Această campanie rău intenționată a avut loc folosind un fel de malware cunoscut sub numele de Balada Injector. Dar cum funcționează acest malware și cum a reușit să infecteze peste un milion de site-uri WordPress?

Elementele de bază ale programului malware Balada Injector

Injector Balada (inventat pentru prima dată în a Raportul Dr. Web) este un program malware care este utilizat din 2017, când a început această uriașă campanie de infectare cu WordPress. Balada Injector este un malware de tip backdoor bazat pe Linux, folosit pentru a infiltra site-urile web.

Backdoor malware și viruși poate ocoli metodele tipice de autentificare sau de autentificare, permițând atacatorului să acceseze capătul dezvoltator al unui site web. De aici, atacatorul poate face modificări neautorizate, poate fura date prețioase și chiar poate închide complet site-ul.

Ușile din spate exploatează punctele slabe ale site-urilor web pentru a obține acces neautorizat. Multe site-uri web au una sau mai multe puncte slabe (cunoscute și ca vulnerabilități de securitate), așa că mulți hackeri nu au greu să găsească o cale de intrare.

Deci, cum au reușit infractorii cibernetici să compromită peste un milion de site-uri WordPress folosind Balada Injector?

Cum a infectat Balada peste un milion de site-uri WordPress?

În aprilie 2023, firma de securitate cibernetică Sucuri a raportat despre o campanie rău intenționată pe care o urmărea din 2017. În Sucuri blog post, s-a precizat că, în 2023, scanerul SiteCheck al companiei a detectat prezența Injectorului Balada de peste 140.000 de ori. S-a descoperit că un site web a fost atacat șocant de 311 ori folosind 11 variante diferite ale injectorului Balada.

Sucuri a mai declarat că are „mai mult de 100 de semnături care acoperă variații atât front-end, cât și back-end ale malware-ului injectat în fișierele serverului. și bazele de date WordPress.” Firma a observat că infecțiile cu injectorul Balada au loc de obicei în valuri, crescând în frecvență la fiecare câteva săptămâni.

Pentru a infecta atât de multe site-uri WordPress, Balada Injector a vizat în mod special vulnerabilitățile din temele și pluginurile platformei. WordPress oferă mii de pluginuri pentru utilizatorii săi și o gamă largă de teme de interfață, dintre care unele au fost vizate de alți hackeri în trecut.

Ceea ce este deosebit de interesant aici este că vulnerabilitățile vizate în campania Balada sunt deja cunoscute. Unele dintre aceste vulnerabilități au fost recunoscute cu ani în urmă, în timp ce altele au fost descoperite doar recent. Scopul Balada Injector este să rămână prezent pe site-ul infectat mult timp după ce acesta este implementat, chiar dacă pluginul pe care l-a exploatat primește o actualizare.

În postarea de blog menționată mai sus, Sucuri a enumerat o serie de metode de infecție utilizate pentru a implementa Balada, inclusiv:

  • injecții HTML.
  • Injecții în baze de date.
  • Injecții SiteURL.
  • Injecții de fișiere arbitrare.

În plus, Balada Injector folosește String.fromCharCode ca o ofuscare, astfel încât este mai greu pentru cercetătorii de securitate cibernetică să îl detecteze și să preia orice tipare în cadrul tehnicii de atac.

Hackerii infectează site-urile WordPress cu Balada pentru a redirecționa utilizatorii către pagini de înșelătorie, cum ar fi loterie false, escrocherii de notificări și platforme false de rapoarte tehnice. Balada poate, de asemenea, să exfiltreze informații valoroase din bazele de date ale site-urilor infectate.

Cum să evitați atacurile cu injector Balada

Există câteva practici pe care le puteți folosi pentru a evita Balada Injector, cum ar fi:

  • Actualizarea regulată a software-ului site-ului web (inclusiv teme și pluginuri).
  • Efectuarea de curățări regulate de software.
  • Activare autentificare cu doi factori.
  • Folosind parole puternice.
  • Limitarea permisiunilor administratorului site-ului.
  • Implementarea sistemelor de control al integrității fișierelor.
  • Menținerea fișierelor de mediu de dezvoltare locală separate de fișierele serverului.
  • Schimbarea parolelor bazei de date după orice compromis.

Luarea unor astfel de măsuri vă poate ajuta să vă păstrați site-ul WordPress în siguranță de Balada. Sucuri are si un Ghid de curățare WordPress pe care îl puteți folosi pentru a vă menține site-ul fără programe malware.

Injectorul Balada este încă liber

La momentul scrierii, Balada Injector este încă acolo și infectează site-uri web. Până când acest malware nu este complet oprit, continuă să prezinte un risc pentru utilizatorii WordPress. Deși este șocant să auzi câte site-uri este deja infectat, din fericire nu ești complet neajutorat împotriva vulnerabilităților din spate și a programelor malware precum Balada care exploatează aceste defecte.