Diese Malware wurde erstmals 2017 entdeckt und hat seitdem über eine Million Websites mit WordPress infiziert. Hier ist, was Sie wissen müssen.

WordPress ist Cyberangriffen nicht fremd und hat jetzt einen weiteren Exploit erlitten, durch den über eine Million Websites infiziert wurden. Diese böswillige Kampagne wurde mithilfe einer Malware namens Balada Injector durchgeführt. Aber wie funktioniert diese Malware und wie hat sie es geschafft, über eine Million WordPress-Sites zu infizieren?

Die Grundlagen der Malware Balada Injector

Balada Injector (der erstmals in einem geprägt wurde Dr. Web-Bericht) ist ein Malware-Programm, das seit 2017 verwendet wird, als diese riesige WordPress-Infektionskampagne begann. Balada Injector ist eine Linux-basierte Backdoor-Malware, die zum Infiltrieren von Websites verwendet wird.

Backdoor-Malware und -Viren kann typische Anmelde- oder Authentifizierungsmethoden umgehen und dem Angreifer den Zugriff auf die Entwicklerseite einer Website ermöglichen. Von hier aus kann der Angreifer unbefugte Änderungen vornehmen, wertvolle Daten stehlen und die Website sogar vollständig schließen.

instagram viewer

Backdoors nutzen Schwachstellen in Websites aus, um sich unbefugten Zugriff zu verschaffen. Viele Websites da draußen haben eine oder mehrere Schwachstellen (auch bekannt als Sicherheitslücken), sodass es vielen Hackern nicht schwer fällt, einen Weg hinein zu finden.

Wie haben es Cyberkriminelle also geschafft, über eine Million WordPress-Sites mit Balada Injector zu kompromittieren?

Wie hat Balada über eine Million WordPress-Sites infiziert?

Im April 2023 berichtete das Cybersicherheitsunternehmen Sucuri über eine böswillige Kampagne, die es seit 2017 verfolgt. Im Sucuri-Blogbeitragwurde angegeben, dass der SiteCheck-Scanner des Unternehmens im Jahr 2023 das Vorhandensein von Balada Injector über 140.000 Mal erkannt hat. Es wurde festgestellt, dass eine Website schockierende 311 Mal mit 11 verschiedenen Varianten von Balada Injector angegriffen wurde.

Sucuri erklärte auch, dass es „mehr als 100 Signaturen hat, die sowohl Front-End- als auch Back-End-Variationen der in Serverdateien injizierten Malware abdecken und WordPress-Datenbanken.

Um so viele WordPress-Sites zu infizieren, zielte Balada Injector speziell auf Schwachstellen in den Themen und Plugins der Plattform ab. WordPress bietet seinen Benutzern Tausende von Plugins und eine breite Palette von Oberflächendesigns, von denen einige in der Vergangenheit von anderen Hackern ins Visier genommen wurden.

Besonders interessant ist hier, dass die Schwachstellen, auf die in der Balada-Kampagne abgezielt wird, bereits bekannt sind. Einige dieser Schwachstellen wurden vor Jahren bekannt, während andere erst kürzlich entdeckt wurden. Es ist das Ziel von Balada Injector, lange nach seiner Bereitstellung auf der infizierten Website präsent zu bleiben, selbst wenn das ausgenutzte Plugin ein Update erhält.

In dem oben genannten Blogbeitrag listete Sucuri eine Reihe von Infektionsmethoden auf, die zum Einsatz von Balada verwendet werden, darunter:

  • HTML-Injektionen.
  • Datenbankinjektionen.
  • SiteURL-Injektionen.
  • Willkürliche Dateiinjektionen.

Darüber hinaus verwendet Balada Injector String.fromCharCode als Verschleierung, sodass es für Cybersicherheitsforscher schwieriger ist, ihn zu erkennen und Muster innerhalb der Angriffstechnik aufzuspüren.

Hacker infizieren WordPress-Sites mit Balada, um Benutzer auf Betrugsseiten umzuleiten, wie z. B. gefälschte Lotterien, Benachrichtigungsbetrug und gefälschte Plattformen für technische Berichte. Balada kann auch wertvolle Informationen aus infizierten Site-Datenbanken exfiltrieren.

So vermeiden Sie Balada-Injektor-Angriffe

Es gibt einige Praktiken, die man anwenden kann, um Balada Injector zu vermeiden, wie zum Beispiel:

  • Regelmäßige Aktualisierung der Website-Software (einschließlich Themen und Plugins).
  • Durchführung regelmäßiger Software-Säuberungen.
  • Aktivieren Zwei-Faktor-Authentifizierung.
  • Verwenden starke Passwörter.
  • Einschränken der Berechtigungen des Site-Administrators.
  • Implementieren von Dateiintegritätskontrollsystemen.
  • Lokale Entwicklungsumgebungsdateien von Serverdateien getrennt halten.
  • Ändern von Datenbankkennwörtern nach einer Kompromittierung.

Wenn Sie solche Schritte unternehmen, können Sie Ihre WordPress-Website vor Balada schützen. Sucuri hat auch eine Anleitung zur WordPress-Bereinigung die Sie verwenden können, um Ihre Website frei von Malware zu halten.

Balada Injector ist immer noch auf freiem Fuß

Zum Zeitpunkt des Verfassens dieses Artikels ist Balada Injector immer noch da draußen und infiziert Websites. Bis diese Malware vollständig gestoppt wird, stellt sie weiterhin ein Risiko für WordPress-Benutzer dar. Obwohl es schockierend ist zu hören, wie viele Websites bereits infiziert sind, sind Sie glücklicherweise nicht völlig hilflos gegenüber Backdoor-Schwachstellen und Malware wie Balada, die diese Schwachstellen ausnutzt.