Uma campanha em larga escala para injetar código malicioso em sites WordPress, apelidada de Balada Injector, já dura pelo menos cinco anos. Pelo menos um milhão de sites foram comprometidos usando plug-ins do WordPress e vulnerabilidades de tema. Uma vez injetado em um site, o código malicioso redireciona os visitantes para sites fraudulentos, incluindo help desks falsos, sorteios ilegais e solicitações de uma solução Captcha.
Fonte da imagem: WordPress
Ao mesmo tempo, os scripts injetados procuram informações confidenciais ou potencialmente úteis, como logs de acesso, logs de erros, arquivos de informações de depuração, ferramentas de administração de banco de dados, credenciais de administrador e muito mais. Eles também carregam backdoors em sites para acessar permanentemente e assumir o controle do site.
Os pesquisadores só recentemente consolidaram atividades maliciosas em uma única campanha que não mostra sinais de desaceleração. “Somente em 2022, nosso scanner de site externo SiteCheck detectou esse malware mais de 141.000 vezes, com mais de 67% dos sites com recursos bloqueados baixando scripts de domínios conhecidos do Balada Injector”, disseram especialistas em segurança da Sucuri.
Os Injetores Balada exploram vulnerabilidades de segurança em plug-ins e temas do sistema de gerenciamento de conteúdo (CMS) do WordPress. Os plug-ins são complementos modulares para WordPress que permitem que os administradores do site adicionem vários recursos, como enquetes, suporte a quadros de mensagens ou integração de comércio eletrônico. Vulnerabilidades em temas e plugins do WordPress podem permitir que um invasor injete código ou obtenha acesso não autorizado a um site.
De acordo com especialistas, o WordPress agora é usado em 60% dos sites. Essa popularidade torna o WordPress um alvo para um grande número de invasores. E se você adicionar a isso a enorme quantidade de código, a disponibilidade de configurações, a complexidade do ecossistema de plug-ins e a falta de práticas de segurança consistentes, fica claro por que o WordPress é tão atraente para os cibercriminosos.
Somente na semana de 15 de março, os especialistas em segurança contaram 37 vulnerabilidades de plugin recentemente descobertas e corrigidas e uma vulnerabilidade de tema que afetou mais de 6 milhões de sites WordPress. Existem também 27 vulnerabilidades conhecidas em plugins e 3 vulnerabilidades em temas que ainda não foram corrigidas. E esses números não são nada fora do comum. No total, 1.425 vulnerabilidades de plugins e temas do WordPress foram identificadas em 2022.
«O WordPress definitivamente precisa ser atualizado regularmente, especialmente se você tiver um site com muitos plug-ins e códigos de terceiros, e este é um dos muitos exemplos em que a segurança é muito difícil para o usuário comum que usa o site. um negócio.” — observa Casey Ellis, fundador e CTO da plataforma de recompensas de bugs Bugcrowd.
A Sucuri monitora novas ondas de atividade do Balada Injector a cada duas semanas, com intervalos intermediários, que são “provavelmente usados para coletar e testar vulnerabilidades recém-descobertas e vulnerabilidades de dia zero”.
Mesmo grandes organizações não estão imunes aos problemas de segurança do WordPress. Muitas vezes, um site é desenvolvido e mantido por um indivíduo ou uma pequena equipe. Esses funcionários estão mais interessados em manter o site atualizado do que em mantê-lo seguro e, como resultado, os patches e avisos de segurança são ignorados. Para se proteger do Balada Injector e de outras ameaças do WordPress, você precisa garantir que todo o software do site esteja atualizado, que os plugins e temas não utilizados sejam removidos e que o firewall esteja ativado.