Injector Balada

Segons els investigadors de seguretat, una campanya d'atac en curs que ofereix programari maliciós rastrejat com a Balada Injector ha aconseguit infectar més d'un milió de llocs web de WordPress. Es creu que l'operació maliciosa ha estat activa almenys des del 2017. Els ciberdelinqüents utilitzen una àmplia gamma de tècniques diferents per explotar les vulnerabilitats conegudes i recentment descobertes en temes i complements de WordPress, cosa que els permet accedir als llocs web objectiu.

L'informe que detalla el Balada Injector, publicat per l'empresa de seguretat Sucuri, afirma que es produeixen noves onades d'atac cada dues setmanes. Hi ha diversos signes d'aquesta activitat maliciosa en particular, inclòs l'ús de l'ofuscament String.fromCharCode, el desplegament d'scripts incorrectes en noms de domini recentment registrats i redireccions a diversos llocs d'estafa. Els llocs web infectats s'utilitzen amb una varietat de finalitats fraudulentes, com ara suport tecnològic fals, fraus de loteria i pàgines CAPTCHA canalla que insten els usuaris a activar les notificacions per verificar que no són robots, permetent així als atacants enviar anuncis de correu brossa.

L'injector Balada explota nombroses debilitats de seguretat

Durant el temps que s'ha desplegat, l'amenaça Balada Injector ha utilitzat més de 100 dominis i diversos mètodes per explotar debilitats de seguretat conegudes, com ara la injecció d'HTML i l'URL del lloc. L'objectiu principal dels atacants ha estat accedir a les credencials de la base de dades emmagatzemades al fitxer wp-config.php.

A més, els atacs estan dissenyats per accedir i descarregar fitxers importants del lloc, com ara còpies de seguretat, abocaments de bases de dades, fitxers de registre i fitxers d'error. També cerquen qualsevol eina sobrant com l'administrador i phpmyadmin que els administradors del lloc poden haver deixat després de realitzar tasques de manteniment. Això proporciona als atacants una gamma més àmplia d'opcions per comprometre el lloc web i robar dades sensibles.

L'injector Balada proporciona accés a la porta posterior als cibercriminals

El programari maliciós Balada Injector té la capacitat de generar usuaris administradors de WordPress fraudulents, recopilar dades emmagatzemades als amfitrions subjacents i deixar portes posteriors que proporcionen accés persistent al sistema.

A més, Balada Injector realitza cerques exhaustives als directoris de nivell superior del sistema de fitxers del lloc web compromès per identificar directoris escrivibles que pertanyen a altres llocs. Normalment, aquests llocs són propietat del mateix administrador web i comparteixen el mateix compte de servidor i els mateixos permisos de fitxer. Per tant, comprometre un lloc pot proporcionar accés a molts altres llocs, ampliant encara més l'atac.

Si aquests mètodes fallen, la contrasenya d'administrador s'endevina amb força mitjançant un conjunt de 74 credencials predeterminades. Per evitar aquests tipus d'atacs, es recomana als usuaris de WordPress que mantinguin el programari del seu lloc web actualitzat, que eliminen els complements i temes que no s'utilitzen i que utilitzin contrasenyes segures per als seus comptes d'administració de WordPress.