Malware ini pertama kali terlihat pada tahun 2017, dan telah menginfeksi lebih dari satu juta situs yang menjalankan WordPress. Inilah yang perlu Anda ketahui.

WordPress tidak asing dengan serangan siber, dan kini telah mengalami eksploitasi lain, yang menyebabkan lebih dari satu juta situs telah terinfeksi. Kampanye jahat ini terjadi menggunakan sejenis malware yang dikenal sebagai Balada Injector. Tetapi bagaimana cara kerja malware ini, dan bagaimana ia berhasil menginfeksi lebih dari satu juta situs WordPress?

Dasar-dasar Malware Injector Balada

Balada Injector (pertama kali diciptakan seperti di a Laporan Dr.Web) adalah program malware yang telah digunakan sejak 2017, saat kampanye infeksi WordPress yang besar ini dimulai. Balada Injector adalah malware backdoor berbasis Linux yang digunakan untuk menyusup ke situs web.

Malware dan virus pintu belakang dapat mem-bypass login biasa atau metode autentikasi, memungkinkan penyerang untuk mengakses ujung pengembang situs web. Dari sini, penyerang dapat membuat perubahan tidak sah, mencuri data berharga, dan bahkan mematikan situs sepenuhnya.

instagram viewer

Backdoor mengeksploitasi kelemahan di situs web untuk mendapatkan akses tidak sah. Banyak situs web di luar sana memiliki satu atau lebih kelemahan (juga dikenal sebagai kerentanan keamanan), sehingga banyak peretas tidak kesulitan menemukan jalan masuk.

Jadi, bagaimana penjahat dunia maya berhasil menyusupi lebih dari satu juta situs WordPress menggunakan Balada Injector?

Bagaimana Balada Menginfeksi Lebih dari Sejuta Situs WordPress?

Pada April 2023, perusahaan keamanan siber Sucuri melaporkan kampanye jahat yang telah dilacaknya sejak 2017. Dalam Posting blog Sucuri, disebutkan bahwa, pada tahun 2023, pemindai SiteCheck perusahaan mendeteksi keberadaan Balada Injector lebih dari 140.000 kali. Satu situs web ditemukan telah diserang sebanyak 311 kali menggunakan 11 variasi Balada Injector yang berbeda.

Sucuri juga menyatakan bahwa ia memiliki "lebih dari 100 tanda tangan yang mencakup variasi front-end dan back-end dari malware yang disuntikkan ke dalam file server dan basis data WordPress." Perusahaan memperhatikan bahwa infeksi Balada Injector biasanya terjadi secara bergelombang, frekuensinya melonjak setiap beberapa minggu.

Untuk menginfeksi begitu banyak situs WordPress, Balada Injector secara khusus menargetkan kerentanan dalam tema dan plugin platform. WordPress menawarkan ribuan plugin untuk penggunanya, dan berbagai tema antarmuka, beberapa di antaranya telah menjadi sasaran peretas lain di masa lalu.

Yang sangat menarik di sini adalah bahwa kerentanan yang ditargetkan dalam kampanye Balada sudah diketahui. Beberapa dari kerentanan ini diketahui bertahun-tahun yang lalu, sementara yang lain baru ditemukan baru-baru ini. Ini adalah tujuan dari Balada Injector untuk tetap hadir di situs yang terinfeksi lama setelah digunakan, bahkan jika plugin yang dieksploitasi menerima pembaruan.

Dalam postingan blog tersebut, Sucuri mencantumkan sejumlah metode infeksi yang digunakan untuk menyebarkan Balada, antara lain:

  • Injeksi HTML.
  • Injeksi basis data.
  • Injeksi SiteURL.
  • Injeksi file sewenang-wenang.

Selain itu, Balada Injector menggunakan String.fromCharCode sebagai penyamaran sehingga lebih sulit bagi peneliti keamanan siber untuk mendeteksinya dan menangkap pola apa pun dalam teknik serangan tersebut.

Peretas menginfeksi situs WordPress dengan Balada untuk mengarahkan pengguna ke halaman penipuan, seperti lotere palsu, penipuan notifikasi, dan platform laporan teknologi palsu. Balada juga dapat mengekstraksi informasi berharga dari database situs yang terinfeksi.

Cara Menghindari Serangan Injector Balada

Ada beberapa amalan yang bisa dilakukan untuk menghindari Balada Injector, seperti:

  • Memperbarui perangkat lunak situs web secara berkala (termasuk tema dan plugin).
  • Melakukan pembersihan perangkat lunak secara teratur.
  • Mengaktifkan autentikasi dua faktor.
  • Menggunakan password yang kuat.
  • Membatasi izin administrator situs.
  • Menerapkan sistem kontrol integritas file.
  • Menjaga file lingkungan pengembangan lokal terpisah dari file server.
  • Mengubah kata sandi basis data setelah kompromi apa pun.

Mengambil langkah-langkah tersebut dapat membantu Anda menjaga keamanan situs web WordPress Anda dari Balada. Sucuri juga memiliki Panduan pembersihan WordPress yang dapat Anda gunakan untuk menjaga situs Anda bebas dari malware.

Balada Injector Masih Lepas

Pada saat penulisan, Balada Injector masih beredar dan menginfeksi situs web. Hingga malware ini sepenuhnya dihentikan, ia terus menimbulkan risiko bagi pengguna WordPress. Meskipun mengejutkan mendengar berapa banyak situs yang sudah terinfeksi, untungnya Anda tidak sepenuhnya tidak berdaya melawan kerentanan backdoor dan malware seperti Balada yang mengeksploitasi kelemahan tersebut.