Balada Injector direciona sites usando WordPress

De acordo com a Sucuri da GoDaddy, uma campanha massiva chamada Balada Injector infectou mais de um milhão de sites WordPress com malware desde 2017. Os invasores usam vários métodos e vulnerabilidades para violar sites WordPress, incluindo vulnerabilidades de tema e plugin. Os ataques ocorrem em ondas a cada poucas semanas e são facilmente identificáveis pelo uso de ofuscação String.fromCharCode, nomes de domínio que hospedam scripts maliciosos e redirecionamentos para sites fraudulentos.

O malware foi projetado para gerar usuários administrativos falsos do WordPress, coletar dados armazenados nos hosts e deixar backdoors para acesso persistente. Os invasores também procuram diretórios graváveis pertencentes a outros sites associados ao sistema de arquivos do site comprometido. Os ataques incluem suporte técnico falso, prêmios de loteria fraudulentos e páginas CAPTCHA desonestas que solicitam que os usuários ativem as notificações para verificar se não são robôs, permitindo que os invasores enviem anúncios de spam.

O Balada Injector conta com mais de 100 domínios e vários métodos, como injeção de HTML e URL do site, para explorar falhas de segurança conhecidas. Os invasores visam principalmente obter credenciais de banco de dados armazenadas no arquivo wp-config.php. O malware pode ler ou baixar arquivos de sites arbitrários, incluindo backups, despejos de banco de dados, arquivos de log e de erro e procurar ferramentas como adminer e phpmyadmin deixadas pelos administradores do site.

Recentemente, a Unidade 42 da Palo Alto Networks descobriu uma campanha de injeção de JavaScript maliciosa semelhante que redireciona os visitantes para adware e páginas enganosas. Mais de 50.000 sites foram afetados desde 2022.

Como os hackers podem comprometer páginas legítimas usando injeção de código?

Os hackers podem comprometer páginas legítimas usando injeção de código, explorando vulnerabilidades no código ou software usado para construir o site. Existem vários tipos de ataques de injeção de código, como injeção de SQL, Cross-Site Scripting (XSS) e inclusão de arquivo remoto (RFI).

A injeção de SQL envolve a inserção de código SQL malicioso na consulta de banco de dados de um site, o que pode permitir que um invasor ignore a autenticação, recupere informações confidenciais ou modifique o banco de dados.

XSS é um tipo de ataque de injeção que visa os usuários que visitam um site, em vez do próprio site. Os invasores injetam scripts maliciosos em páginas da Web visualizadas pelos usuários, permitindo que eles roubem cookies de sessão, redirecionem usuários para sites de phishing ou roubem credenciais de login.

O RFI envolve a injeção de código malicioso em uma página da Web, explorando uma vulnerabilidade no mecanismo de inclusão de arquivo de um aplicativo da Web. Isso permite que o invasor execute código remoto no servidor, o que pode levar ao controle completo do servidor da Web e à exposição de informações confidenciais.

Os hackers também podem usar a injeção de código para inserir códigos maliciosos em sites legítimos que podem levar à disseminação de malware ou tentativas de phishing. Para evitar ataques de injeção de código, é importante manter os aplicativos da Web e plug-ins atualizados, validar a entrada do usuário e usar práticas de codificação seguras.