WordPress non è estraneo agli attacchi informatici e ora ha subito un altro exploit, attraverso il quale sono stati infettati oltre un milione di siti. Questa campagna dannosa ha avuto luogo utilizzando un tipo di malware noto come Balada Injector.
Ma come funziona questo malware e come è riuscito a infettare oltre un milione di siti WordPress?
Le basi di Balada Injector Malware
Balada Injector (coniato per la prima volta come in a Rapporto Dr.Web) è un programma malware in uso dal 2017, quando è iniziata questa enorme campagna di infezione di WordPress. Balada Injector è un malware backdoor basato su Linux utilizzato per infiltrarsi nei siti web.
Il malware e i virus backdoor possono aggirare i tipici metodi di accesso o autenticazione, consentendo all’attaccante di accedere all’estremità dello sviluppatore di un sito web. Da qui, l’attaccante può apportare modifiche non autorizzate, rubare dati preziosi e persino chiudere completamente il sito.
Le backdoor sfruttano i punti deboli dei siti Web per ottenere accessi non autorizzati. Molti siti Web là fuori hanno uno o più punti deboli (noti anche come vulnerabilità di sicurezza), quindi molti hacker non hanno difficoltà a trovare un modo per entrare.
Quindi, in che modo i criminali informatici sono riusciti a compromettere oltre un milione di siti WordPress utilizzando Balada Injector?
In che modo Balada ha infettato oltre un milione di siti WordPress?
Nell’aprile 2023, la società di sicurezza informatica Sucuri ha riferito di una campagna dannosa che stava monitorando dal 2017. Nel Post sul blog di Sucuri, è stato affermato che, nel 2023, lo scanner SiteCheck dell’azienda ha rilevato la presenza di Balada Injector oltre 140.000 volte. È stato scoperto che un sito Web è stato attaccato per ben 311 volte utilizzando 11 diverse varianti di Balada Injector.
Sucuri ha anche affermato di avere “più di 100 firme che coprono sia le variazioni front-end che back-end del malware iniettato nei file del server e nei database WordPress”. L’azienda ha notato che le infezioni da Balada Injector si verificano in genere a ondate, con picchi di frequenza ogni poche settimane.
Per infettare così tanti siti WordPress, Balada Injector ha preso di mira specificamente le vulnerabilità all’interno dei temi e dei plug-in della piattaforma. WordPress offre migliaia di plugin per i suoi utenti e una vasta gamma di temi di interfaccia, alcuni dei quali sono stati presi di mira da altri hacker in passato.
Ciò che è particolarmente interessante qui è che le vulnerabilità prese di mira nella campagna Balada sono già note. Alcune di queste vulnerabilità sono state riconosciute anni fa, mentre altre sono state scoperte solo di recente. L’obiettivo di Balada Injector è di rimanere presente sul sito infetto molto tempo dopo che è stato distribuito, anche se il plug-in che ha sfruttato riceve un aggiornamento.
Nel suddetto post sul blog, Sucuri ha elencato una serie di metodi di infezione utilizzati per distribuire Balada, tra cui:
- Iniezioni HTML.
- Iniezioni di database.
- Iniezioni SiteURL.
- Iniezioni di file arbitrarie.
Inoltre, Balada Injector utilizza String.fromCharCode come offuscamento in modo che sia più difficile per i ricercatori di sicurezza informatica rilevarlo e rilevare eventuali schemi all’interno della tecnica di attacco.
Gli hacker stanno infettando i siti WordPress con Balada per reindirizzare gli utenti a pagine di truffa, come lotterie false, truffe di notifica e piattaforme di rapporti tecnici fasulli. Balada può anche esfiltrare informazioni preziose dai database dei siti infetti.
Come evitare gli attacchi dell’iniettore Balada
Ci sono alcune pratiche che si possono utilizzare per evitare Balada Injector, come ad esempio:
- Aggiornamento regolare del software del sito Web (inclusi temi e plug-in).
- Esecuzione di pulizie regolari del software.
- Attivazione dell’autenticazione a due fattori.
- Utilizzo di password complesse.
- Limitare le autorizzazioni dell’amministratore del sito.
- Implementazione di sistemi di controllo dell’integrità dei file.
- Mantenere separati i file dell’ambiente di sviluppo locale dai file del server.
- Modifica delle password del database dopo qualsiasi compromissione.
L’adozione di tali misure può aiutarti a mantenere il tuo sito Web WordPress al sicuro da Balada. Sucuri ha anche un Guida alla pulizia di WordPress che puoi utilizzare per mantenere il tuo sito libero da malware.
L’iniettore Balada è ancora a piede libero
Al momento in cui scriviamo, Balada Injector è ancora disponibile e sta infettando i siti web. Fino a quando questo malware non sarà completamente bloccato, continuerà a rappresentare un rischio per gli utenti di WordPress. Mentre è scioccante sapere quanti siti sono già infetti, fortunatamente non sei completamente impotente contro vulnerabilità backdoor e malware come Balada che sfrutta quei difetti.