Esse malware foi detectado pela primeira vez em 2017 e infectou mais de um milhão de sites que executam o WordPress. Aqui está o que você precisa saber.

O WordPress não é estranho a ataques cibernéticos e agora sofreu outra exploração, através da qual mais de um milhão de sites foram infectados. Esta campanha maliciosa ocorreu usando um tipo de malware conhecido como Balada Injector. Mas como esse malware funciona e como conseguiu infectar mais de um milhão de sites WordPress?

Os fundamentos do malware do Injetor Balada

Balada Injector (cunhado pela primeira vez em um Relatório do Dr. Web) é um programa de malware que está em uso desde 2017, quando essa enorme campanha de infecção do WordPress começou. O Balada Injector é um malware backdoor baseado em Linux usado para se infiltrar em sites.

Malware e vírus de backdoor pode ignorar os métodos típicos de login ou autenticação, permitindo que o invasor acesse o lado do desenvolvedor de um site. A partir daqui, o invasor pode fazer alterações não autorizadas, roubar dados preciosos e até mesmo fechar o site completamente.

instagram viewer

Backdoors exploram pontos fracos em sites para obter acesso não autorizado. Muitos sites têm um ou mais pontos fracos (também conhecidos como vulnerabilidades de segurança), portanto, muitos hackers não têm dificuldade em encontrar uma maneira de entrar.

Então, como os cibercriminosos conseguiram comprometer mais de um milhão de sites WordPress usando o Balada Injector?

Como Balada infectou mais de um milhão de sites WordPress?

Em abril de 2023, a empresa de segurança cibernética Sucuri relatou uma campanha maliciosa que vinha rastreando desde 2017. No postagem no blog Sucuri, foi afirmado que, em 2023, o scanner SiteCheck da empresa detectou a presença do Balada Injector mais de 140.000 vezes. Descobriu-se que um site foi atacado chocantes 311 vezes usando 11 variações diferentes do Balada Injector.

A Sucuri também afirmou que tem "mais de 100 assinaturas cobrindo variações de front-end e back-end do malware injetado nos arquivos do servidor e bancos de dados WordPress." A empresa notou que as infecções do Balada Injector normalmente ocorrem em ondas, aumentando a frequência a cada poucas semanas.

Para infectar tantos sites WordPress, o Balada Injector visou especificamente vulnerabilidades nos temas e plugins da plataforma. O WordPress oferece milhares de plug-ins para seus usuários e uma ampla variedade de temas de interface, alguns dos quais já foram alvo de outros hackers no passado.

O que é particularmente interessante aqui é que as vulnerabilidades visadas na campanha Balada já são conhecidas. Algumas dessas vulnerabilidades foram reconhecidas anos atrás, enquanto outras só foram descobertas recentemente. O objetivo do Balada Injector é permanecer presente no site infectado por muito tempo depois de implantado, mesmo que o plug-in que ele explorou receba uma atualização.

Na postagem do blog mencionada acima, a Sucuri listou vários métodos de infecção usados ​​para implantar o Balada, incluindo:

  • Injeções de HTML.
  • Injeções de banco de dados.
  • Injeções de SiteURL.
  • Injeções arbitrárias de arquivos.

Além disso, o Balada Injector usa String.fromCharCode como uma ofuscação para que seja mais difícil para os pesquisadores de segurança cibernética detectá-lo e detectar quaisquer padrões dentro da técnica de ataque.

Os hackers estão infectando sites WordPress com Balada para redirecionar os usuários para páginas fraudulentas, como loterias falsas, golpes de notificação e plataformas falsas de relatórios técnicos. Balada também pode exfiltrar informações valiosas de bancos de dados de sites infectados.

Como evitar ataques de injetores Balada

Existem algumas práticas que podem ser empregadas para evitar o Injetor Balada, como:

  • Atualizar regularmente o software do site (incluindo temas e plugins).
  • Realização de limpezas regulares de software.
  • Ativando autenticação de dois fatores.
  • Usando senhas fortes.
  • Limitando as permissões do administrador do site.
  • Implementação de sistemas de controle de integridade de arquivos.
  • Manter os arquivos do ambiente de desenvolvimento local separados dos arquivos do servidor.
  • Alterar as senhas do banco de dados após qualquer comprometimento.

Tomar essas medidas pode ajudá-lo a manter seu site WordPress protegido contra Balada. A Sucuri também tem Guia de limpeza do WordPress que você pode usar para manter seu site livre de malware.

Injetor Balada ainda está à solta

No momento da redação deste artigo, o Balada Injector ainda está por aí e infectando sites. Até que esse malware seja totalmente interrompido, ele continua a representar um risco para os usuários do WordPress. Embora seja chocante saber quantos sites ele já infectou, felizmente você não está completamente desamparado contra vulnerabilidades de backdoor e malware como o Balada, que explora essas falhas.