Estima-se que 1 milhão de sites que utilizam o sistema de gestão de conteúdo WordPress foram infectados nos últimos seis anos em uma campanha maliciosa de longa duração que pesquisadores de segurança cibernética estão chamando de “Balada Injector”.
A campanha ainda em andamento explora “todas as vulnerabilidades conhecidas e recentemente descobertas de temas e plugins” para injetar uma backdoor Linux em sites WordPress, de acordo com a empresa de segurança de sites Sucuri, que opera como uma unidade de negócios separada dentro da GoDaddy. Esse método, segundo os pesquisadores, possibilitavam vários níveis de acesso e, em muitos casos, as vulnerabilidades exploradas permitiam que um invasor obtivesse informações críticas sobre os sites comprometidos.
Desde 2017, a campanha tem sido classificada entre as três principais infecções que a Sucuri detecta e limpa dos sites afetados. A campanha inicia novas ondas de ataques a cada poucas semanas, usando domínios recém-registrados e variações de malware usado anteriormente. A onda de ataques mais recente foi observada apenas alguns dias atrás, quando a campanha explorou uma vulnerabilidade de alta gravidade no Elementor Pro do WordPress, um plug-in usado por 11 milhões de sites.
Denis Sinegubko, pesquisador sênior de malware da GoDaddy, disse que a campanha é facilmente identificada por sua preferência pela ofuscação String.fromCharCode, pelo uso de nomes de domínio recém-registrados que hospedam scripts maliciosos em subdomínios aleatórios e por redirecionamentos para vários sites fraudulentos.
Alcance e escopo da atividade maliciosa
“Somente em 2022, nosso scanner de site externo SiteCheck detectou esse malware mais de 141 mil vezes, com mais de 67% dos sites com recursos bloqueados carregando scripts de domínios conhecidos do Balada Injector”, escreveu Sinegubko no final da semana passada. “Atualmente, temos mais de 100 assinaturas cobrindo variações de front-end e back-end do malware injetado em arquivos de servidor e bancos de dados do WordPress.”
Os operadores do malware usam o período entre cada onda para desenvolver novas rotinas de ataque, geralmente reunindo e testando novas vulnerabilidades. Cada onda usa um novo nome de domínio recém-registrado que combina palavras inglesas aleatórias, como sometimesfree[.]biz e destinyfernandi[.]com.
No ano passado, o Balada Injector usou mais de cem nomes de domínio diferentes e aproveitou uma ampla variedade de métodos de ataque, incluindo hacks de siteurl, injeções de HTML, injeções de banco de dados e injeções arbitrárias de arquivos, com ataques geralmente envolvendo várias infecções no mesmo site . Em um exemplo apresentado por Sinegubko, a Sucuri descobriu que uma página (URLScan.io.cache) foi atacada 311 vezes por 11 scripts Balada maliciosos distintos.
“O tempo todo, o Balada Injector adicionou rapidamente vulnerabilidades recém-divulgadas (e às vezes 0 dias não divulgados), ocasionalmente iniciando ondas massivas de infecções dentro de algumas horas após a divulgação da vulnerabilidade”, escreveu o pesquisador da GoDaddy.
Veja isso
Hackers exploram bug no plugin Elementor Pro do WordPress
Kit de phishing usa PayPal para invadir sites do WordPress
Os scripts do Balada Injector visam roubar credenciais de banco de dados em arquivos wp-config.php, algo que pode permitir acesso contínuo mesmo se o proprietário do site corrigir vulnerabilidades exploradas anteriormente e remover os arquivos backdoor. Para evitar a detecção, os invasores frequentemente alteravam a lista de arquivos visados, adicionando “novos elementos” e removendo “os de baixo desempenho”.
“Se o site ainda não estiver comprometido, eles [os invasores] usam vários truques para obter o conteúdo do wp-config.php. E se já estiver comprometido, eles o leem para salvar as credenciais para usos futuros”, explicou Sinegubko.Além disso, a campanha tenta obter acesso a arquivos arbitrários do site, incluindo arquivos de backup, bancos de dados, logs de acesso, informações de depuração, enquanto procura ferramentas como Adminer e phpMyAdmin.
