Denne skadevare ble først oppdaget i 2017, og har fortsatt å infisere over en million nettsteder som kjører WordPress. Her er det du trenger å vite.

WordPress er ikke fremmed for nettangrep, og har nå blitt utsatt for en ny utnyttelse, som over én million nettsteder har blitt infisert gjennom. Denne ondsinnede kampanjen har funnet sted ved hjelp av en slags skadelig programvare kjent som Balada Injector. Men hvordan fungerer denne skadelige programvaren, og hvordan klarte den å infisere over en million WordPress-nettsteder?

Grunnleggende om Balada Injector Malware

Balada Injector (første gang laget en slik i en Dr. Web-rapport) er et skadelig programvareprogram som har vært i bruk siden 2017, da denne enorme WordPress-infeksjonskampanjen startet. Balada Injector er en Linux-basert bakdør malware som brukes til å infiltrere nettsteder.

Backdoor malware og virus kan omgå typiske påloggings- eller autentiseringsmetoder, slik at angriperen får tilgang til utviklerenden av et nettsted. Herfra kan angriperen gjøre uautoriserte endringer, stjele dyrebare data og til og med stenge nettstedet helt.

Bakdører utnytter svakheter på nettsider for å få uautorisert tilgang. Mange nettsteder der ute har en eller flere svakheter (også kjent som sikkerhetssårbarheter), så mange hackere har ikke vanskelig for å finne en vei inn.

Så hvordan klarte nettkriminelle å kompromittere over en million WordPress-nettsteder ved å bruke Balada Injector?

Hvordan infiserte Balada over en million WordPress-nettsteder?

I april 2023 rapporterte nettsikkerhetsfirmaet Sucuri om en ondsinnet kampanje den hadde sporet siden 2017. I Sucuri blogginnlegg, ble det uttalt at selskapets SiteCheck-skanner i 2023 oppdaget tilstedeværelsen av Balada Injector over 140 000 ganger. En nettside ble funnet å ha blitt angrepet sjokkerende 311 ganger ved bruk av 11 forskjellige varianter av Balada Injector.

Sucuri uttalte også at den har "mer enn 100 signaturer som dekker både front-end og back-end varianter av skadelig programvare injisert i serverfiler og WordPress-databaser." Firmaet la merke til at Balada Injector-infeksjonene vanligvis finner sted i bølger, og øker hyppigheten med noen få ukers mellomrom.

For å infisere så mange WordPress-nettsteder, målrettet Balada Injector spesifikt sårbarheter innenfor plattformens temaer og plugins. WordPress tilbyr tusenvis av plugins for sine brukere, og et bredt spekter av grensesnitttemaer, hvorav noen har vært målrettet av andre hackere tidligere.

Det som er spesielt interessant her er at sårbarhetene som målrettes mot i Balada-kampanjen allerede er kjent. Noen av disse sårbarhetene ble erkjent for mange år siden, mens andre først ble oppdaget nylig. Det er målet til Balada Injector å forbli tilstede på det infiserte nettstedet lenge etter at det er distribuert, selv om plugin-en den utnyttet mottar en oppdatering.

I det nevnte blogginnlegget listet Sucuri opp en rekke infeksjonsmetoder som ble brukt for å distribuere Balada, inkludert:

  • HTML-injeksjoner.
  • Databaseinjeksjoner.
  • SiteURL-injeksjoner.
  • Vilkårlige filinjeksjoner.

På toppen av dette bruker Balada Injector String.fromCharCode som en tilsløring slik at det er vanskeligere for cybersikkerhetsforskere å oppdage det og fange opp eventuelle mønstre innenfor angrepsteknikken.

Hackere infiserer WordPress-nettsteder med Balada for å omdirigere brukere til svindelsider, for eksempel falske lotterier, varslingssvindel og falske tekniske rapporteringsplattformer. Balada kan også eksfiltrere verdifull informasjon fra infiserte nettstedsdatabaser.

Hvordan unngå Balada-injektorangrep

Det er noen praksis man kan bruke for å unngå Balada Injector, for eksempel:

  • Regelmessig oppdatering av nettsideprogramvare (inkludert temaer og plugins).
  • Gjennomføre regelmessige rengjøringer av programvare.
  • Aktiverer to-faktor autentisering.
  • Ved hjelp av sterke passord.
  • Begrensning av nettstedadministratortillatelser.
  • Implementering av filintegritetskontrollsystemer.
  • Holde lokale utviklingsmiljøfiler atskilt fra serverfiler.
  • Endring av databasepassord etter ethvert kompromiss.

Å ta slike skritt kan hjelpe deg med å holde WordPress-nettstedet ditt trygt fra Balada. Sucuri har også en WordPress oppryddingsveiledning som du kan bruke for å holde nettstedet ditt fritt for skadelig programvare.

Balada-injektoren er fortsatt på frifot

I skrivende stund er Balada Injector fortsatt der ute og infiserer nettsteder. Inntil denne skadelige programvaren er fullstendig stoppet i sine spor, fortsetter den å utgjøre en risiko for WordPress-brukere. Selv om det er sjokkerende å høre hvor mange nettsteder det allerede er infisert, er du heldigvis ikke helt hjelpeløs mot bakdørssårbarheter og skadelig programvare som Balada som utnytter disse feilene.