{"id":10416,"date":"2023-12-14T21:46:38","date_gmt":"2023-12-15T00:46:38","guid":{"rendered":"https:\/\/4tuneagencia.digital\/blog\/sites-wordpress-estao-sendo-atacados-desde-2017-blog-do-edivaldo\/"},"modified":"2023-12-14T21:46:38","modified_gmt":"2023-12-15T00:46:38","slug":"sites-wordpress-estao-sendo-atacados-desde-2017-blog-do-edivaldo","status":"publish","type":"post","link":"https:\/\/4tuneagencia.digital\/blog\/sites-wordpress-estao-sendo-atacados-desde-2017-blog-do-edivaldo\/","title":{"rendered":"Sites WordPress est\u00e3o sendo atacados desde 2017 – Blog do Edivaldo"},"content":{"rendered":"

In\u00edcio<\/a><\/span> \u00bb Sites WordPress est\u00e3o sendo atacados desde 2017<\/strong><\/span><\/span>
Segundo a empresa de seguran\u00e7a de sites Sucuri, milh\u00f5es de sites WordPress est\u00e3o sendo atacados desde 2017, gra\u00e7as ao backdoor Balad Injector.
<\/span>Estima-se que um milh\u00e3o de sites WordPress foram comprometidos durante uma campanha de longa dura\u00e7\u00e3o que explora “todas as vulnerabilidades conhecidas e recentemente descobertas de temas e plugins” para injetar um backdoor do Linux que os pesquisadores chamaram de Balad Injector.
A campanha est\u00e1 em execu\u00e7\u00e3o desde 2017 e visa principalmente redirecionar para p\u00e1ginas falsas de suporte t\u00e9cnico, vit\u00f3rias fraudulentas na loteria e golpes de notifica\u00e7\u00e3o por push.<\/p>\n

\"Sites
Sites WordPress est\u00e3o sendo atacados desde 2017<\/figcaption><\/figure>\n

De acordo com a empresa de seguran\u00e7a<\/a> de sites Sucuri<\/a>, a campanha do Balad Injector \u00e9 a mesma que o Dr. Web relatou em dezembro de 2022 para aproveitar falhas conhecidas em v\u00e1rios plugins e temas para plantar um backdoor.
A Sucuri relata que o Balada Injector ataca em ondas que ocorrem uma vez por m\u00eas, cada uma usando um nome de dom\u00ednio rec\u00e9m-registrado para escapar das listas de bloqueio.
Normalmente, o malware explora vulnerabilidades rec\u00e9m-divulgadas e desenvolve rotinas de ataque personalizadas em torno da falha que visa. <\/p>\n

\"Sites
Sites WordPress est\u00e3o sendo atacados desde 2017 – Complementos direcionados de uma onda de infec\u00e7\u00e3o espec\u00edfica (Sucuri)<\/figcaption><\/figure>\n

Os m\u00e9todos de inje\u00e7\u00e3o observados pela Sucuri durante todo esse tempo incluem hacks de siteurl, inje\u00e7\u00f5es de HTML, inje\u00e7\u00f5es de banco de dados e inje\u00e7\u00f5es arbitr\u00e1rias de arquivos.
Essa infinidade de vetores de ataque tamb\u00e9m criou infec\u00e7\u00f5es duplicadas de sites, com ondas subsequentes visando sites j\u00e1 comprometidos. A Sucuri destaca o caso de um site que foi atacado 311 vezes com 11 vers\u00f5es distintas do Balada. <\/p>\n

\"Sites
Sites WordPress est\u00e3o sendo atacados desde 2017 – Inje\u00e7\u00e3o t\u00edpica de Balada (Sucuri)<\/figcaption><\/figure>\n

Os scripts de Balada concentram-se na extra\u00e7\u00e3o de informa\u00e7\u00f5es confidenciais, como credenciais de banco de dados de arquivos wp-config.php, portanto, mesmo que o propriet\u00e1rio do site elimine uma infec\u00e7\u00e3o e corrija seus complementos, o agente da amea\u00e7a mant\u00e9m seu acesso.
A campanha tamb\u00e9m busca arquivos de backup e bancos de dados, logs de acesso, informa\u00e7\u00f5es de depura\u00e7\u00e3o e arquivos que possam conter informa\u00e7\u00f5es confidenciais. A Sucuri diz que o agente da amea\u00e7a atualiza frequentemente a lista de arquivos visados.
Al\u00e9m disso, o malware procura a presen\u00e7a de ferramentas de administra\u00e7\u00e3o de banco de dados como Adminer e phpMyAdmin.
Se essas ferramentas estiverem vulner\u00e1veis ou mal configuradas, elas podem ser usadas para criar novos usu\u00e1rios administradores, extrair informa\u00e7\u00f5es do site ou injetar malware persistente no banco de dados.
Se esses caminhos diretos de viola\u00e7\u00e3o n\u00e3o estiverem dispon\u00edveis, os invasores recorrem \u00e0 for\u00e7a bruta da senha do administrador, testando um conjunto de 74 credenciais.
O Balada Injector planta v\u00e1rios backdoors em sites WordPress comprometidos para redund\u00e2ncia, que atuam como pontos de acesso ocultos para os invasores.
A Sucuri relata que, em algum momento de 2020, Balada estava lan\u00e7ando backdoors para 176 caminhos predefinidos, tornando a remo\u00e7\u00e3o completa do backdoor muito desafiadora. <\/p>\n

\"Trecho
Sites WordPress est\u00e3o sendo atacados desde 2017 – Trecho da lista de caminhos de backdoor (Sucuri)<\/figcaption><\/figure>\n

Al\u00e9m disso, os nomes dos backdoors plantados mudaram em cada onda de campanha para tornar as detec\u00e7\u00f5es e remo\u00e7\u00f5es mais dif\u00edceis para os propriet\u00e1rios de sites.
Os pesquisadores dizem que os injetores Balada n\u00e3o est\u00e3o presentes em todos os locais comprometidos, j\u00e1 que um n\u00famero t\u00e3o grande de clientes seria um desafio dif\u00edcil de gerenciar.
Eles acreditam que os hackers carregaram o malware em sites “hospedados em servidores privados ou virtuais privados que mostram sinais de n\u00e3o serem gerenciados adequadamente ou negligenciados”.
A partir da\u00ed, os injetores verificam sites que compartilham a mesma conta de servidor e permiss\u00f5es de arquivo e os procuram por diret\u00f3rios grav\u00e1veis, come\u00e7ando pelos diret\u00f3rios com privil\u00e9gios mais altos, para executar infec\u00e7\u00f5es entre sites.
Essa abordagem permite que os agentes de amea\u00e7as comprometam facilmente v\u00e1rios sites de uma s\u00f3 vez e espalhem rapidamente seus backdoors enquanto precisam gerenciar um n\u00famero m\u00ednimo de injetores.
Al\u00e9m disso, as infec\u00e7\u00f5es entre sites permitem que os invasores reinfectem sites limpos repetidamente, desde que o acesso ao VPS seja mantido.
A Sucuri observa que a defesa contra ataques do Injetor Balada pode diferir de um caso para outro e que n\u00e3o h\u00e1 um conjunto espec\u00edfico de instru\u00e7\u00f5es que os administradores possam seguir para manter a amea\u00e7a sob controle, devido \u00e0 grande variedade de vetores de infec\u00e7\u00e3o.
No entanto, os guias gerais de limpeza de malware do WordPress da Sucuri<\/a> devem ser suficientes para bloquear a maioria das tentativas.
Manter todo o software do site atualizado, usar senhas fortes e exclusivas, implementar a autentica\u00e7\u00e3o de dois fatores e adicionar sistemas de integridade de arquivos deve funcionar bem o suficiente para proteger os sites contra comprometimento. <\/p>\n