Balada inžektors

Saskaņā ar drošības pētnieku teikto, notiekošā uzbrukuma kampaņa, kas nodrošina ļaunprātīgu programmatūru, kas izsekota kā Balada Injector, ir spējusi inficēt vairāk nekā vienu miljonu WordPress vietņu. Tiek uzskatīts, ka ļaunprātīgā darbība ir bijusi aktīva vismaz kopš 2017. gada. Kibernoziedznieki izmanto plašu dažādu paņēmienu klāstu, lai izmantotu zināmās un jaunatklātās WordPress motīvu un spraudņu ievainojamības, ļaujot viņiem piekļūt mērķa vietnēm.

Ziņojumā, kurā sīki aprakstīts Balada Injector, ko izlaidusi drošības kompānija Sucuri, teikts, ka jauni uzbrukuma viļņi notiek ik pēc pāris nedēļām. Ir vairākas šīs ļaunprātīgās darbības pazīmes, tostarp String.fromCharCode apmulsināšana, sliktu skriptu izvietošana tikko reģistrētos domēna vārdos un novirzīšana uz dažādām krāpnieciskām vietnēm. Inficētās vietnes tiek izmantotas dažādiem krāpnieciskiem mērķiem, tostarp viltus tehniskajam atbalstam, krāpnieciskām izlozēm un negodīgām CAPTCHA lapām, kas mudina lietotājus ieslēgt paziņojumus, lai pārliecinātos, ka viņi nav roboti, tādējādi ļaujot uzbrucējiem sūtīt surogātpasta reklāmas.

Balada inžektors izmanto daudzas drošības nepilnības

Laikā, kad tas tika izvietots, Balada Injector draudi ir izmantojuši vairāk nekā 100 domēnus un dažādas metodes, lai izmantotu labi zināmas drošības nepilnības, piemēram, HTML injekciju un vietnes URL. Uzbrucēju galvenais mērķis ir bijis piekļūt datu bāzes akreditācijas datiem, kas saglabāti failā wp-config.php.

Turklāt uzbrukumi ir paredzēti, lai piekļūtu un lejupielādētu svarīgus vietņu failus, piemēram, dublējumus, datu bāzes izgāztuves, žurnālfailus un kļūdu failus. Viņi arī meklē visus atlikušos rīkus, piemēram, adminer un phpmyadmin, kurus vietnes administratori, iespējams, ir atstājuši pēc apkopes darbu veikšanas. Tas nodrošina uzbrucējiem plašākas iespējas uzlauzt vietni un nozagt sensitīvus datus.

Balada inžektors nodrošina aizmugures piekļuvi kibernoziedzniekiem

Ļaunprātīgajai programmatūrai Balada Injector ir iespēja ģenerēt krāpnieciskus WordPress administratorus, vākt datus, kas tiek glabāti pamatā esošajos saimniekdatoros, un atstāt aizmugures durvis, kas nodrošina pastāvīgu piekļuvi sistēmai.

Turklāt Balada Injector veic plašu meklēšanu apdraudētās vietnes failu sistēmas augstākā līmeņa direktorijās, lai identificētu rakstāmos direktorijus, kas pieder citām vietnēm. Parasti šīs vietnes pieder vienam un tam pašam tīmekļa pārzinim, un tām ir viens un tas pats servera konts un faila atļaujas. Tādējādi vienas vietnes kompromitēšana var nodrošināt piekļuvi vairākām citām vietnēm, vēl vairāk paplašinot uzbrukumu.

Ja šīs metodes neizdodas, administratora parole tiek uzminēta, izmantojot 74 iepriekš noteiktu akreditācijas datu kopu. Lai novērstu šāda veida uzbrukumus, WordPress lietotāji tiek stingri aicināti regulāri atjaunināt savu vietņu programmatūru, noņemt neizmantotos spraudņus un motīvus un saviem WordPress administratora kontiem izmantot spēcīgas paroles.