O Balada Injector, um malware que tem assombrado a comunidade WordPress, está de volta, e traz consigo preocupações renovadas. Websites mal protegidos parecem ser o alvo principal, com o malware a infiltrar-se e a usar esses sites para atingir os seus visitantes.
A forma de atuação deste malware é peculiar. Ele ataca em “ondas”, que acontecem mais ou menos a cada mês. Nesta estratégia, o Balada Injector altera o seu domínio e o código, tentando assim adicionar-se ao código dos sites WordPress. Um site, em particular, foi vítima de sete destas “ondas”, com várias instâncias de código malicioso adicionadas umas em cima das outras. O que isto significa? Antes mesmo de o website carregar, este código malicioso pretende dar aos atacantes acesso remoto às máquinas infetadas e redirecionar os visitantes para websites com campanhas maliciosas.
Alerta nas descobertas
Durante a análise do site comprometido, os investigadores descobriram cinco URLs diferentes, utilizadas para carregar JavaScript malicioso. Esta descoberta revelou novos pontos de Comando & Controlo (C2) e JavaScript ofuscado, ampliando a complexidade do esquema operacional do malware.
Contudo, há uma réstia de esperança para potenciais vítimas. Ainda que sofisticado, o Balada Injector tem as suas falhas. Não verifica se os sites comprometidos já tinham código malicioso previamente adicionado. Por causa disso, em vez de mostrar a página de destino, força o download de um ficheiro PHP. Isto acabou por levantar suspeitas e, no final, ajudou a desvendar toda a campanha de hacking.
Se usas o WordPress, é crucial manteres o teu site atualizado e bem protegido. Mantém sempre um olho nas notícias sobre segurança e garante que tens uma boa defesa contra estas ameaças. E claro, nunca descuides da importância de backups regulares.
Outros artigos interessantes: