Masz stronę na WordPressie? Uważaj na wirusa Balada Injector

Czym jest wirus Balada Injector?

Balada Injector po raz pierwszy został wykryty w 2017 r. w trakcie wielkiej kampanii infekcji WordPressa złośliwym oprogramowaniem. Balada Injector to backdoor służący do infiltracji stron internetowych, oparty na systemie Linux.

Jest w stanie ominąć typowe metody logowania lub uwierzytelniania i umożliwia atakującemu dostęp do strony programisty. Stąd cyberprzestępca może dokonać nieautoryzowanych zmian, wykrada dane, a nawet całkiem wyłączyć witrynę.

Jak zabezpieczyć stronę na wordpress?Anna Malinowska

Backdoory poprzez wykorzystanie luk w zabezpieczeniach i tzw. exploitów, są w stanie uzyskać nieautoryzowany dostęp do stron WWW. A ponieważ wiele witryn jest kiepsko zabezpieczonych, to nie stanowi to problemu dla cyberprzestępców, korzystających z takich oprogramowań. 

Balada Injector infekuje setki tysięcy stron

W kwietniu 2023 roku firma Sucuri ogłosiła, że od 2017 r. śledziła kampanię szkodliwego oprogramowania o nazwie Balada Injector. Sucuri poinformowała, że w 2023 r. udało jej się wykryć Balada Injector na ponad 140 tys. stron internetowych za pomocą skanera SiteCheck.

Szkodliwe oprogramowanie atakowało strony za pomocą 11 różnych odmian i zostało zauważone 311 razy na tylko jednej witrynie. Firma Sucuri stwierdziła, że ​​zidentyfikowała ponad 100 sygnatur szkodliwego oprogramowania wstrzykiwanego do plików serwera i baz danych WordPress. Te dotyczyły zarówno frontendu, jak i backendu. 

Infekcje Balada Injector zwykle miały miejsce falami, zwiększając częstotliwość co kilka tygodni. Balada Injector celowo wykorzystywał luki w motywach i wtyczkach platformy WordPress, a tych jak wiemy są tysiące. 

Wordpress zablokuje FLoC?Jan Wróblewski

Niestety, niektóre z nich były wcześniej atakowane przez innych hakerów. Co ciekawe, luki, których używał Balada Injector, były już znane. Niektóre z nich zostały odkryte lata temu, a inne dopiero niedawno. Celem Balada Injector było pozostawanie na zainfekowanej stronie przez długi czas po jej zainstalowaniu, nawet jeśli używana przez nią wtyczka była aktualizowana.

Ponadto Balada Injector wykorzystuje String.fromCharCode jako zaciemnianie, co utrudnia ekspertom ds. cyberbezpieczeństwa wykrycie go i wykrycie jakichkolwiek wzorców w technice ataku.

Jak się chronić przed Balada Injector?

Eksperci z firmy Sucuri udostępnili wskazówki, które pomagają zidentyfikować i usunąć backdoora Balada Injector. Jest to:

• Regularne aktualizowanie oprogramowania strony internetowej (w tym motywów i wtyczek); 

• Regularne czyszczenie oprogramowania; 

• Aktywacja uwierzytelniania dwuskładnikowego; 

• Używanie silnych haseł; 

• Ograniczanie uprawnień administratora serwisu; 

• Wdrażanie systemów kontroli integralności plików; 

• Oddzielanie lokalnych plików środowiska programistycznego od plików serwera;

• Zmiana haseł do bazy danych po każdym kompromitacji.

Jeśli jednak Twoja witryna padła ofiarą Balada Injector, najlepiej skontaktuj się z ekspertem ds. cyberbezpieczeństwa, który dokona audytu i pomoże Ci w tej sytuacji.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.