Denne malware blev først opdaget i 2017 og er blevet til at inficere over en million websteder, der kører WordPress. Her er hvad du behøver at vide.
WordPress er ikke fremmed for cyberangreb, og har nu lidt endnu en udnyttelse, hvorigennem over en million websteder er blevet inficeret. Denne ondsindede kampagne har fundet sted ved hjælp af en slags malware kendt som Balada Injector. Men hvordan virker denne malware, og hvordan lykkedes det at inficere over en million WordPress-websteder?
Det grundlæggende i Balada Injector Malware
Balada Injector (første gang opfundet en sådan i en Dr. Web-rapport) er et malware-program, der har været i brug siden 2017, hvor denne enorme WordPress-infektionskampagne begyndte. Balada Injector er en Linux-baseret bagdør-malware, der bruges til at infiltrere websteder.
Bagdørs malware og vira kan omgå typiske login- eller godkendelsesmetoder, så angriberen får adgang til udviklerens ende af et websted. Herfra kan angriberen foretage uautoriserede ændringer, stjæle dyrebare data og endda lukke webstedet helt ned.
Bagdøre udnytter svagheder på websteder for at få uautoriseret adgang. Mange hjemmesider derude har en eller flere svagheder (også kendt som sikkerhedssårbarheder), så mange hackere har ikke svært ved at finde en vej ind.
Så hvordan lykkedes det cyberkriminelle at kompromittere over en million WordPress-websteder ved hjælp af Balada Injector?
Hvordan inficerede Balada over en million WordPress-websteder?
I april 2023 rapporterede cybersikkerhedsfirmaet Sucuri om en ondsindet kampagne, som den havde sporet siden 2017. I den Sucuri blogindlæg, blev det oplyst, at virksomhedens SiteCheck-scanner i 2023 registrerede tilstedeværelsen af Balada Injector over 140.000 gange. Et websted viste sig at være blevet angrebet chokerende 311 gange ved hjælp af 11 forskellige variationer af Balada Injector.
Sucuri udtalte også, at det har "mere end 100 signaturer, der dækker både front-end og back-end variationer af malware injiceret i serverfiler og WordPress-databaser." Firmaet bemærkede, at Balada Injector-infektionerne typisk finder sted i bølger, der stiger i frekvens med få ugers mellemrum.
For at inficere så mange WordPress-websteder målrettede Balada Injector specifikt sårbarheder inden for platformens temaer og plugins. WordPress tilbyder tusindvis af plugins til sine brugere og en bred vifte af grænsefladetemaer, hvoraf nogle har været målrettet af andre hackere tidligere.
Det, der er særligt interessant her, er, at de sårbarheder, der er målrettet mod i Balada-kampagnen, allerede er kendt. Nogle af disse sårbarheder blev erkendt for mange år siden, mens andre først blev opdaget for nylig. Det er målet for Balada Injector at forblive til stede på det inficerede websted længe efter, at det er installeret, selvom det plugin, den udnyttede, modtager en opdatering.
I det førnævnte blogindlæg listede Sucuri en række infektionsmetoder, der blev brugt til at implementere Balada, herunder:
- HTML-indsprøjtninger.
- Databaseindsprøjtninger.
- SiteURL-injektioner.
- Vilkårlige filindsprøjtninger.
Oven i dette bruger Balada Injector String.fromCharCode som en sløring, så det er sværere for cybersikkerhedsforskere at opdage det og opfange eventuelle mønstre inden for angrebsteknikken.
Hackere inficerer WordPress-websteder med Balada for at omdirigere brugere til svindelsider, såsom falske lotterier, notifikationssvindel og falske teknologiske rapporteringsplatforme. Balada kan også udskille værdifuld information fra inficerede webstedsdatabaser.
Sådan undgår du Balada-injektorangreb
Der er nogle fremgangsmåder, man kan anvende for at undgå Balada Injector, såsom:
- Regelmæssig opdatering af webstedssoftware (inklusive temaer og plugins).
- Udførelse af regelmæssige rensninger af software.
- Aktiverer to-faktor autentificering.
- Ved brug af stærke adgangskoder.
- Begrænsning af webstedsadministratorrettigheder.
- Implementering af filintegritetskontrolsystemer.
- Holder lokale udviklingsmiljøfiler adskilt fra serverfiler.
- Ændring af databaseadgangskoder efter ethvert kompromis.
At tage sådanne trin kan hjælpe dig med at holde dit WordPress-websted sikkert fra Balada. Sucuri har også en WordPress oprydningsvejledning som du kan bruge til at holde dit websted fri for malware.
Balada Injector er stadig på fri fod
I skrivende stund er Balada Injector stadig derude og inficerer hjemmesider. Indtil denne malware er helt stoppet i sine spor, fortsætter den med at udgøre en risiko for WordPress-brugere. Selvom det er chokerende at høre, hvor mange websteder det allerede er inficeret, er du heldigvis ikke helt hjælpeløs over for bagdørssårbarheder og malware som Balada, der udnytter disse fejl.