Tento malware byl poprvé spatřen v roce 2017 a infikoval více než milion webů se systémem WordPress. Zde je to, co potřebujete vědět.

WordPressu nejsou kybernetické útoky cizí a nyní utrpěl další exploit, jehož prostřednictvím bylo infikováno více než milion webů. Tato škodlivá kampaň se odehrála pomocí druhu malwaru známého jako Balada Injector. Jak ale tento malware funguje a jak se mu podařilo infikovat více než milion WordPress webů?

Základy malwaru Balada Injector

Balada Injector (první vytvořený jako v a Zpráva Dr. Web) je malwarový program, který se používá od roku 2017, kdy začala tato obrovská kampaň proti infekci WordPress. Balada Injector je backdoor malware založený na Linuxu, který se používá k infiltraci webových stránek.

Backdoor malware a viry může obejít typické přihlašovací nebo autentizační metody a umožnit útočníkovi přístup k vývojářskému konci webu. Odtud může útočník provádět neoprávněné změny, krást drahocenná data a dokonce web úplně vypnout.

Backdoors využívají slabiny webových stránek k získání neoprávněného přístupu. Mnoho webových stránek má jednu nebo více slabin (také známých jako zranitelnosti zabezpečení), takže mnoho hackerů nemá problém najít cestu dovnitř.

instagram viewer

Jak se tedy kyberzločincům podařilo kompromitovat více než milion webů WordPress pomocí Balada Injector?

Jak Balada infikovala více než milion webů WordPress?

V dubnu 2023 kybernetická společnost Sucuri informovala o škodlivé kampani, kterou sledovala od roku 2017. V Sucuri blogový příspěvekbylo uvedeno, že v roce 2023 skener SiteCheck společnosti detekoval přítomnost Balada Injector více než 140 000krát. Bylo zjištěno, že jedna webová stránka byla napadena šokujících 311krát pomocí 11 různých variant Balada Injector.

Sucuri také uvedl, že má „více než 100 podpisů pokrývajících jak front-endové, tak back-endové varianty malwaru vloženého do serverových souborů. a databáze WordPress." Firma si všimla, že infekce Balada Injector se obvykle odehrávají ve vlnách a jejich frekvence stoupá každých několik týdnů.

Aby Balada Injector infikoval tolik webů WordPress, konkrétně se zaměřil na zranitelnosti v tématech a pluginech platformy. WordPress nabízí svým uživatelům tisíce pluginů a širokou škálu témat rozhraní, z nichž některá byla v minulosti cílem jiných hackerů.

Zde je obzvláště zajímavé, že o zranitelnostech, na které je zaměřena kampaň Balada, se již ví. Některé z těchto zranitelností byly uznány před lety, zatímco jiné byly objeveny teprve nedávno. Cílem Balada Injectoru je zůstat přítomen na infikovaném webu dlouho po jeho nasazení, i když plugin, který využíval, obdrží aktualizaci.

Ve výše uvedeném příspěvku na blogu Sucuri uvedl řadu metod infekce používaných k nasazení Balady, včetně:

  • HTML injekce.
  • Databázové injekce.
  • SiteURL injekce.
  • Libovolné vkládání souborů.

Balada Injector navíc používá String.fromCharCode jako zmatek, takže pro výzkumníky v oblasti kybernetické bezpečnosti je obtížnější jej odhalit a zachytit jakékoli vzory v rámci techniky útoku.

Hackeři infikují weby WordPress programem Balada, aby přesměrovali uživatele na podvodné stránky, jako jsou falešné loterie, podvody s upozorněními a platformy pro falešné technické zprávy. Balada může také exfiltrovat cenné informace z infikovaných databází stránek.

Jak se vyhnout útokům vstřikovačů Balada

Existuje několik postupů, které lze použít, aby se zabránilo Balada Injector, jako například:

  • Pravidelná aktualizace softwaru webových stránek (včetně témat a pluginů).
  • Provádění pravidelného čištění softwaru.
  • Aktivace dvoufaktorové ověřování.
  • Použitím silná hesla.
  • Omezení oprávnění správce webu.
  • Implementace systémů kontroly integrity souborů.
  • Udržování souborů místního vývojového prostředí odděleně od souborů serveru.
  • Změna hesel databáze po jakémkoli kompromisu.

Takové kroky vám mohou pomoci udržet váš web WordPress v bezpečí před Baladou. Sucuri má také a Průvodce čištěním WordPressu které můžete použít k tomu, aby vaše stránky neobsahovaly malware.

Injektor Balada je stále na volné noze

V době psaní tohoto článku je Balada Injector stále venku a infikuje webové stránky. Dokud se tento malware úplně nezastaví, nadále představuje riziko pro uživatele WordPress. I když je šokující slyšet, kolik stránek je již infikováno, naštěstí nejste zcela bezmocní vůči zranitelnostem zadních vrátek a malwaru, jako je Balada, který těchto nedostatků využívá.