A ESET alerta que cibercriminosos estão atacando milhares de sites WordPress, explorando vulnerabilidades em plugins populares, como o PopUp Builder, que permitem o controle total dos servidores. Conforme analisado no último Relatório de Ameaças da empresa, o grupo responsável pelo Balada Injector, malware que vem atacando o WordPress, comprometeu mais de 20 mil sites nos últimos meses, distribuindo JavaScripts maliciosos em diversas ondas de ataque.

No último semestre de 2023, foi identificado um aumento deste tipo de incidente e, desde janeiro de 2024, as detecções da ESET aumentaram consideravelmente. O método de ataque é a exploração de vulnerabilidades presentes no plugin PopUp Builder, utilizado para criar Pop-ups do WordPress. Examinar falhas em plugins do WordPress é uma das formas favoritas de acesso inicial usada pelos invasores por trás do Balada Injector.

O WordPress é uma ferramenta utilizada por mais de 43% dos usuários para criação de sites e gerenciamento de conteúdo, segundo pesquisa da W3Techs, por isso, segundo a ESET, ele se tornou um dos alvos preferidos de diversos atores de ameaças.

Os operadores por trás do Balada Injector são conhecidos por explorar vulnerabilidades de plugins do WordPress e têm a capacidade de instalar vários mecanismos de persistência. Ján Adámek, engenheiro de detecção sênior da ESET, alerta que os scripts deste malware podem assumir o controle total do servidor web, portanto, uma vez detectado, é importante remover o plugin malicioso e atualizar quaisquer plugins associados ao WordPress.

Devido à sua capacidade de instalar mecanismos de persistência, a ESET recomenda verificar se existem contas de administrador mal-intencionadas e arquivos maliciosos no servidor web. Alterar as credenciais de acesso é uma maneira eficaz de prevenir qualquer intrusão indesejada.

É importante estar atento a alguns indicadores de comprometimento em WordPress, como quando o site é colocado na lista de restrição por motores de busca como Google e Bing, quando o host desativa o site, quando a página é marcada como distribuidora de malware, ou quando são detectados comportamentos não autorizados, como a criação de novos usuários desconhecidos, ou ainda se o site apresenta uma aparência estranha.

Caso alguma atividade maliciosa seja detectada, a ESET recomenda controlar os acessos e revogar aqueles que são suspeitos, documentar toda atividade incomum para manter um relatório de incidentes, e escanear o site e o ambiente. Uma vez que se determine que a página está limpa da ameaça, é fundamental alterar as senhas e credenciais de login, garantindo que sejam utilizadas chaves de segurança robustas.

"Como sempre enfatizamos na ESET, manter os sistemas e aplicativos atualizados é fundamental para garantir que os patches e melhorias de segurança oferecidos por cada desenvolvedor estejam em vigor. O software atualizado aborda as vulnerabilidades que possam ser descobertas. No caso do WordPress, certifique-se de estar utilizando a versão mais recente, que atualmente é a série 6.6, considerada a mais segura, pois é mantida e atualizada ativamente," comenta Camilo Gutiérrez Amaya, chefe do laboratório de pesquisa da ESET América Latina.