Deze malware werd voor het eerst opgemerkt in 2017 en heeft sindsdien meer dan een miljoen sites met WordPress geïnfecteerd. Dit is wat u moet weten.

WordPress is geen onbekende in cyberaanvallen en heeft nu opnieuw te maken gehad met een andere exploit, waardoor meer dan een miljoen sites zijn geïnfecteerd. Deze kwaadaardige campagne heeft plaatsgevonden met behulp van een soort malware die bekend staat als Balada Injector. Maar hoe werkt deze malware en hoe is het gelukt om meer dan een miljoen WordPress-sites te infecteren?

De grondbeginselen van Balada Injector-malware

Balada Injector (voor het eerst zo bedacht in een Dr. Web-rapport) is een malwareprogramma dat in gebruik is sinds 2017, toen deze enorme WordPress-infectiecampagne begon. Balada Injector is een op Linux gebaseerde backdoor-malware die wordt gebruikt om websites te infiltreren.

Backdoor-malware en virussen kan typische inlog- of authenticatiemethoden omzeilen, waardoor de aanvaller toegang heeft tot de ontwikkelaarszijde van een website. Vanaf hier kan de aanvaller ongeoorloofde wijzigingen aanbrengen, kostbare gegevens stelen en zelfs de site volledig afsluiten.

instagram viewer

Backdoors maken gebruik van zwakheden in websites om ongeoorloofde toegang te krijgen. Veel websites hebben een of meer zwakke punten (ook wel beveiligingskwetsbaarheden genoemd), dus veel hackers hebben geen moeite om binnen te komen.

Dus, hoe zijn cybercriminelen erin geslaagd om meer dan een miljoen WordPress-sites in gevaar te brengen met behulp van Balada Injector?

Hoe infecteerde Balada meer dan een miljoen WordPress-sites?

In april 2023 rapporteerde cyberbeveiligingsbedrijf Sucuri over een kwaadaardige campagne die het sinds 2017 volgde. In de Sucuri-blogpost, werd gesteld dat de SiteCheck-scanner van het bedrijf in 2023 meer dan 140.000 keer de aanwezigheid van Balada Injector had gedetecteerd. Eén website bleek maar liefst 311 keer te zijn aangevallen met 11 verschillende variaties van Balada Injector.

Sucuri verklaarde ook dat het "meer dan 100 handtekeningen heeft die zowel front-end als back-end variaties dekken van de malware die in serverbestanden is geïnjecteerd. en WordPress-databases." Het bedrijf merkte op dat de Balada Injector-infecties meestal in golven plaatsvinden, met een piek in frequentie om de paar weken.

Om zoveel WordPress-sites te infecteren, richtte Balada Injector zich specifiek op kwetsbaarheden binnen de thema's en plug-ins van het platform. WordPress biedt duizenden plug-ins voor zijn gebruikers en een breed scala aan interfacethema's, waarvan sommige in het verleden het doelwit zijn geweest van andere hackers.

Wat hier vooral interessant is, is dat de kwetsbaarheden die het doelwit zijn van de Balada-campagne al bekend zijn. Sommige van deze kwetsbaarheden zijn jaren geleden erkend, terwijl andere pas onlangs zijn ontdekt. Het is het doel van Balada Injector om aanwezig te blijven op de geïnfecteerde site lang nadat deze is geïmplementeerd, zelfs als de plug-in die het heeft uitgebuit een update ontvangt.

In de bovengenoemde blogpost somde Sucuri een aantal infectiemethoden op die werden gebruikt om Balada in te zetten, waaronder:

  • HTML-injecties.
  • Database-injecties.
  • SiteURL-injecties.
  • Willekeurige bestandsinjecties.

Bovendien gebruikt Balada Injector String.fromCharCode als een verduistering, zodat het voor cyberbeveiligingsonderzoekers moeilijker is om het te detecteren en eventuele patronen binnen de aanvalstechniek op te pikken.

Hackers infecteren WordPress-sites met Balada om gebruikers om te leiden naar zwendelpagina's, zoals valse loterijen, oplichting met meldingen en valse technische rapportageplatforms. Balada kan ook waardevolle informatie exfiltreren uit databases van geïnfecteerde sites.

Hoe balada-injectoraanvallen te voorkomen

Er zijn enkele praktijken die men kan toepassen om Balada Injector te vermijden, zoals:

  • Regelmatig updaten van websitesoftware (inclusief thema's en plug-ins).
  • Het regelmatig opschonen van software.
  • Activeren tweefactorauthenticatie.
  • Gebruik makend van sterke wachtwoorden.
  • Beperking van de machtigingen van de sitebeheerder.
  • Implementeren van bestandsintegriteitscontrolesystemen.
  • Bestanden in de lokale ontwikkelomgeving gescheiden houden van serverbestanden.
  • Databasewachtwoorden wijzigen na een compromis.

Door dergelijke stappen te nemen, kunt u uw WordPress-website beschermen tegen Balada. Sucuri heeft ook een Gids voor het opschonen van WordPress die u kunt gebruiken om uw site vrij van malware te houden.

Balada-injector is nog steeds vrij rond

Op het moment van schrijven is Balada Injector nog steeds actief en infecteert het websites. Totdat deze malware volledig is gestopt, blijft het een risico vormen voor WordPress-gebruikers. Hoewel het schokkend is om te horen hoeveel sites het al heeft geïnfecteerd, ben je gelukkig niet helemaal hulpeloos tegen backdoor-kwetsbaarheden en malware zoals Balada die misbruik maakt van die fouten.