Denna skadliga programvara upptäcktes först 2017 och har fortsatt att infektera över en miljon webbplatser som kör WordPress. Här är vad du behöver veta.
WordPress är inte främmande för cyberattacker och har nu drabbats av ytterligare ett utnyttjande, genom vilket över en miljon webbplatser har infekterats. Denna skadliga kampanj har ägt rum med ett slags skadlig programvara som kallas Balada Injector. Men hur fungerar den här skadliga programvaran och hur lyckades den infektera över en miljon WordPress-webbplatser?
Grunderna i Balada Injector Malware
Balada Injector (myntade först en sådan i en Dr. Web-rapport) är ett skadlig program som har använts sedan 2017, när denna enorma WordPress-infektionskampanj började. Balada Injector är en Linux-baserad bakdörr skadlig kod som används för att infiltrera webbplatser.
Backdoor malware och virus kan kringgå typiska inloggnings- eller autentiseringsmetoder, vilket gör att angriparen kan komma åt utvecklarens ände av en webbplats. Härifrån kan angriparen göra otillåtna ändringar, stjäla värdefull data och till och med stänga av webbplatsen helt.
Bakdörrar utnyttjar svagheter på webbplatser för att få obehörig åtkomst. Många webbplatser där ute har en eller flera svagheter (även känd som säkerhetsbrister), så många hackare har inte svårt att hitta en väg in.
Så, hur lyckades cyberbrottslingar kompromissa med över en miljon WordPress-webbplatser med Balada Injector?
Hur infekterade Balada över en miljon WordPress-webbplatser?
I april 2023 rapporterade cybersäkerhetsföretaget Sucuri om en skadlig kampanj som den hade spårat sedan 2017. I den Sucuri blogginlägg, uppgavs det att under 2023 upptäckte företagets SiteCheck-skanner närvaron av Balada Injector över 140 000 gånger. En webbplats visade sig ha attackerats chockerande 311 gånger med 11 olika varianter av Balada Injector.
Sucuri uppgav också att det har "mer än 100 signaturer som täcker både front-end- och back-end-varianter av skadlig programvara som injiceras i serverfiler och WordPress-databaser." Företaget märkte att Balada Injector-infektionerna vanligtvis sker i vågor och ökar med några veckors mellanrum.
För att infektera så många WordPress-webbplatser riktade Balada Injector specifikt in sårbarheter inom plattformens teman och plugins. WordPress erbjuder tusentals plugins för sina användare och ett brett utbud av gränssnittsteman, av vilka några har varit inriktade på andra hackare tidigare.
Det som är särskilt intressant här är att de sårbarheter som riktas mot Balada-kampanjen redan är kända. Vissa av dessa sårbarheter erkändes för flera år sedan, medan andra upptäcktes först nyligen. Det är målet för Balada Injector att förbli närvarande på den infekterade platsen långt efter att den har distribuerats, även om plugin-programmet som den utnyttjade får en uppdatering.
I det tidigare nämnda blogginlägget listade Sucuri ett antal infektionsmetoder som används för att distribuera Balada, inklusive:
- HTML-injektioner.
- Databasinjektioner.
- SiteURL-injektioner.
- Godtyckliga filinjektioner.
Utöver detta använder Balada Injector String.fromCharCode som en obfuskation så att det är svårare för cybersäkerhetsforskare att upptäcka det och fånga upp eventuella mönster inom attacktekniken.
Hackare infekterar WordPress-webbplatser med Balada för att omdirigera användare till bluffsidor, som falska lotterier, aviseringsbedrägerier och falska tekniska rapportplattformar. Balada kan också exfiltrera värdefull information från infekterade webbplatsdatabaser.
Hur man undviker Balada-injektorattacker
Det finns några metoder man kan använda för att undvika Balada Injector, till exempel:
- Regelbundet uppdatera webbplatsens programvara (inklusive teman och plugins).
- Genomför regelbundna rengöringar av programvara.
- Aktiverar tvåfaktorsautentisering.
- Använder sig av starka lösenord.
- Begränsning av webbplatsadministratörsbehörigheter.
- Implementering av filintegritetskontrollsystem.
- Hålla lokala utvecklingsmiljöfiler åtskilda från serverfiler.
- Ändra databaslösenord efter någon kompromiss.
Att vidta sådana åtgärder kan hjälpa dig att hålla din WordPress-webbplats säker från Balada. Sucuri har också en WordPress rengöringsguide som du kan använda för att hålla din webbplats fri från skadlig programvara.
Balada Injector är fortfarande på fri fot
I skrivande stund finns Balada Injector fortfarande där ute och infekterar webbplatser. Tills denna skadliga programvara är helt stoppad i sina spår, fortsätter den att utgöra en risk för WordPress-användare. Även om det är chockerande att höra hur många webbplatser den redan är infekterad, är du lyckligtvis inte helt hjälplös mot bakdörrssårbarheter och skadlig programvara som Balada som utnyttjar dessa brister.