Ce malware a été repéré pour la première fois en 2017 et a ensuite infecté plus d'un million de sites exécutant WordPress. Voici ce que vous devez savoir.

WordPress n'est pas étranger aux cyberattaques et a maintenant subi un autre exploit, par lequel plus d'un million de sites ont été infectés. Cette campagne malveillante a eu lieu à l'aide d'un type de logiciel malveillant appelé Balada Injector. Mais comment fonctionne ce malware et comment a-t-il réussi à infecter plus d'un million de sites WordPress ?

Les bases du logiciel malveillant Balada Injector

Balada Injector (inventé pour la première fois dans un Rapport du Dr Web) est un programme malveillant utilisé depuis 2017, lorsque cette énorme campagne d'infection de WordPress a commencé. Balada Injector est un logiciel malveillant de porte dérobée basé sur Linux utilisé pour infiltrer les sites Web.

Logiciels malveillants et virus de porte dérobée peut contourner les méthodes de connexion ou d'authentification typiques, permettant à l'attaquant d'accéder à l'extrémité développeur d'un site Web. À partir de là, l'attaquant peut apporter des modifications non autorisées, voler des données précieuses et même fermer complètement le site.

instagram viewer

Les portes dérobées exploitent les faiblesses des sites Web afin d'obtenir un accès non autorisé. De nombreux sites Web présentent une ou plusieurs faiblesses (également appelées vulnérabilités de sécurité), de sorte que de nombreux pirates n'ont pas de mal à trouver un moyen d'y pénétrer.

Alors, comment les cybercriminels ont-ils réussi à compromettre plus d'un million de sites WordPress en utilisant Balada Injector ?

Comment Balada a-t-il infecté plus d'un million de sites WordPress?

En avril 2023, la société de cybersécurité Sucuri a signalé une campagne malveillante qu'elle suivait depuis 2017. Dans le Article de blog Sucuri, il a été déclaré qu'en 2023, le scanner SiteCheck de la société a détecté la présence de Balada Injector plus de 140 000 fois. Il a été découvert qu'un site Web avait été attaqué 311 fois en utilisant 11 variantes différentes de Balada Injector.

Sucuri a également déclaré qu'il avait "plus de 100 signatures couvrant à la fois les variations frontales et principales du logiciel malveillant injecté dans les fichiers du serveur et les bases de données WordPress. » La société a remarqué que les infections par Balada Injector se produisent généralement par vagues, augmentant en fréquence toutes les quelques semaines.

Pour infecter autant de sites WordPress, Balada Injector a spécifiquement ciblé les vulnérabilités des thèmes et plugins de la plateforme. WordPress propose des milliers de plugins pour ses utilisateurs et un large éventail de thèmes d'interface, dont certains ont été ciblés par d'autres pirates dans le passé.

Ce qui est particulièrement intéressant ici, c'est que les vulnérabilités ciblées dans la campagne Balada sont déjà connues. Certaines de ces vulnérabilités ont été reconnues il y a des années, tandis que d'autres n'ont été découvertes que récemment. C'est le but de Balada Injector de rester présent sur le site infecté longtemps après son déploiement, même si le plugin qu'il exploitait reçoit une mise à jour.

Dans le billet de blog susmentionné, Sucuri a répertorié un certain nombre de méthodes d'infection utilisées pour déployer Balada, notamment :

  • Injections HTML.
  • Injections de bases de données.
  • Injections d'URL de site.
  • Injections arbitraires de fichiers.

En plus de cela, Balada Injector utilise String.fromCharCode comme obfuscation afin qu'il soit plus difficile pour les chercheurs en cybersécurité de le détecter et de détecter tous les modèles de la technique d'attaque.

Les pirates infectent les sites WordPress avec Balada afin de rediriger les utilisateurs vers des pages frauduleuses, telles que de fausses loteries, des escroqueries par notification et de fausses plateformes de rapports techniques. Balada peut également exfiltrer des informations précieuses à partir de bases de données de sites infectés.

Comment éviter les attaques d'injecteurs Balada

Il existe certaines pratiques que l'on peut employer pour éviter l'injecteur Balada, telles que :

  • Mise à jour régulière du logiciel du site Web (y compris les thèmes et les plugins).
  • Effectuer des nettoyages réguliers des logiciels.
  • Activation authentification à deux facteurs.
  • En utilisant mots de passe forts.
  • Limitation des autorisations d'administrateur de site.
  • Mettre en place des systèmes de contrôle de l'intégrité des fichiers.
  • Séparez les fichiers de l'environnement de développement local des fichiers du serveur.
  • Modification des mots de passe de la base de données après tout compromis.

Prendre de telles mesures peut vous aider à protéger votre site Web WordPress de Balada. Sucuri a également un Guide de nettoyage WordPress que vous pouvez utiliser pour garder votre site exempt de logiciels malveillants.

L'injecteur Balada est toujours en liberté

Au moment de la rédaction de cet article, Balada Injector est toujours là et infecte les sites Web. Jusqu'à ce que ce logiciel malveillant soit complètement stoppé, il continue de présenter un risque pour les utilisateurs de WordPress. Bien qu'il soit choquant d'entendre combien de sites il est déjà infecté, vous n'êtes heureusement pas complètement impuissant face aux vulnérabilités des portes dérobées et aux logiciels malveillants comme Balada qui exploitent ces failles.