WordPress n’est pas étranger aux cyberattaques et vient de subir un nouvel exploit qui a infecté plus d’un million de sites. Cette campagne malveillante a été menée à l’aide d’un type de logiciel malveillant connu sous le nom de Balada Injector. Mais comment fonctionne ce logiciel malveillant et comment est-il parvenu à infecter plus d’un million de sites WordPress ?
Les bases du logiciel malveillant Balada Injector
Balada Injector (appelé ainsi pour la première fois dans un rapport de Dr.Web) est un programme malveillant utilisé depuis 2017, lorsque cette énorme campagne d’infection de WordPress a commencé. Balada Injector est un logiciel malveillant de type backdoor basé sur Linux et utilisé pour infiltrer des sites web.
Les logiciels malveillants et les virus à porte dérobée peuvent contourner les méthodes de connexion ou d’authentification habituelles, ce qui permet à l’attaquant d’accéder à la partie développeur d’un site web. De là, l’attaquant peut apporter des modifications non autorisées, voler des données précieuses et même fermer complètement le site.
Les portes dérobées exploitent les faiblesses des sites web afin d’obtenir un accès non autorisé. De nombreux sites web présentent une ou plusieurs faiblesses (également connues sous le nom de vulnérabilités de sécurité), de sorte que les pirates n’ont pas de mal à trouver un moyen d’y pénétrer.
Comment les cybercriminels ont-ils réussi à compromettre plus d’un million de sites WordPress à l’aide de Balada Injector ?
Comment Balada a-t-il infecté plus d’un million de sites WordPress ?
En avril 2023, la société de cybersécurité Sucuri a fait état d’une campagne malveillante qu’elle suivait depuis 2017. Dans le billet de blog de Sucuri, il est indiqué qu’en 2023, le scanner SiteCheck de l’entreprise a détecté la présence de Balada Injector plus de 140 000 fois. Un site web a été attaqué 311 fois à l’aide de 11 variantes différentes de Balada Injector.
Sucuri a également déclaré qu’il disposait de « plus de 100 signatures couvrant à la fois les variantes frontales et dorsales du logiciel malveillant injecté dans les fichiers du serveur et les bases de données WordPress ». L’entreprise a remarqué que les infections par Balada Injector se produisent généralement par vagues, avec une fréquence accrue toutes les quelques semaines.
Pour infecter autant de sites WordPress, Balada Injector a spécifiquement ciblé des vulnérabilités dans les thèmes et les plugins de la plateforme. WordPress offre des milliers de plugins à ses utilisateurs, ainsi qu’une large gamme de thèmes d’interface, dont certains ont été ciblés par d’autres pirates dans le passé.
Ce qui est particulièrement intéressant ici, c’est que les vulnérabilités visées par la campagne de Balada sont déjà connues. Certaines de ces vulnérabilités ont été reconnues il y a plusieurs années, tandis que d’autres n’ont été découvertes que récemment. L’objectif de Balada Injector est de rester présent sur le site infecté longtemps après son déploiement, même si le plugin qu’il exploite reçoit une mise à jour.
Dans l’article de blog susmentionné, Sucuri a énuméré un certain nombre de méthodes d’infection utilisées pour déployer Balada, notamment :
- Injections HTML.
- Injections dans les bases de données.
- Injections de SiteURL.
- Injections de fichiers arbitraires.
En outre, Balada Injector utilise String.fromCharCode pour brouiller les pistes, de sorte qu’il est plus difficile pour les chercheurs en cybersécurité de le détecter et de repérer des schémas dans la technique d’attaque.
Les pirates infectent les sites WordPress avec Balada afin de rediriger les utilisateurs vers des pages frauduleuses, telles que de fausses loteries, des arnaques à la notification et de fausses plateformes de rapports techniques. Balada peut également exfiltrer des informations précieuses des bases de données des sites infectés.
Comment éviter les attaques de l’injecteur Balada
Certaines pratiques peuvent être mises en œuvre pour éviter Balada Injector, notamment :
- Mettre régulièrement à jour le logiciel du site web (y compris les thèmes et les plugins).
- Nettoyage régulier des logiciels.
- Activation de l’authentification à deux facteurs.
- Utiliser des mots de passe forts.
- Limiter les autorisations de l’administrateur du site.
- Implémentation de systèmes de contrôle de l’intégrité des fichiers.
- Séparation des fichiers de l’environnement de développement local des fichiers du serveur.
- Changer les mots de passe des bases de données après toute compromission.
Prendre de telles mesures peut vous aider à garder votre site WordPress à l’abri de Balada. Sucuri propose également un guide de nettoyage WordPress que vous pouvez utiliser pour garder votre site à l’abri des logiciels malveillants.
L’injecteur Balada est toujours en liberté
À l’heure où nous écrivons ces lignes, Balada Injector est toujours en liberté et infecte des sites web. Jusqu’à ce que ce logiciel malveillant soit complètement arrêté, il continue à poser un risque pour les utilisateurs de WordPress. Bien qu’il soit choquant d’apprendre le nombre de sites qu’il a déjà infectés, vous n’êtes heureusement pas complètement démunis face aux vulnérabilités des portes dérobées et aux logiciels malveillants comme Balada qui exploitent ces failles.