Injektor Balada

Podľa bezpečnostných výskumníkov prebiehajúca útočná kampaň prinášajúca malvér sledovaný ako Balada Injector dokázala infikovať viac ako milión webových stránok WordPress. Predpokladá sa, že zákerná operácia je aktívna prinajmenšom od roku 2017. Kyberzločinci využívajú širokú škálu rôznych techník na zneužitie známych a novoobjavených zraniteľností v témach a doplnkoch WordPress, čo im umožňuje získať prístup k cieľovým webovým stránkam.

V správe s podrobnosťami o Balada Injector, ktorú vydala bezpečnostná spoločnosť Sucuri, sa uvádza, že nové útočné vlny sa dejú každých pár týždňov. Existuje niekoľko podpisových znakov tejto konkrétnej zákernej aktivity, vrátane použitia zahmlievania String.fromCharCode, nasadenia zlých skriptov na novoregistrované názvy domén a presmerovaní na rôzne podvodné stránky. Infikované webové stránky sa používajú na rôzne podvodné účely vrátane falošnej technickej podpory, lotériových podvodov a nečestných stránok CAPTCHA, ktoré vyzývajú používateľov, aby si zapli upozornenia, aby si overili, že nie sú roboti, a tým umožňujú útočníkom odosielať spamové reklamy.

Injektor Balada využíva množstvo bezpečnostných slabín

Počas doby, kedy bola nasadená, sa hrozba Balada Injector uchýlila k využívaniu viac ako 100 domén a rôznych metód na využitie dobre známych bezpečnostných slabín, ako sú HTML injection a Site URL. Primárnym cieľom útočníkov bolo získať prístup k povereniam databázy uloženým v súbore wp-config.php.

Okrem toho sú útoky určené na prístup a sťahovanie dôležitých súborov lokality, ako sú zálohy, výpisy z databázy, protokolové súbory a chybové súbory. Vyhľadávajú tiež akékoľvek zvyšné nástroje, ako je adminer a phpmyadmin, ktoré správcovia stránok mohli zanechať po vykonaní úloh údržby. To poskytuje útočníkom širšiu škálu možností kompromitovať webovú stránku a ukradnúť citlivé údaje.

Injektor Balada poskytuje kyberzločincom zadný prístup

Malvér Balada Injector má schopnosť generovať podvodných správcov WordPress, zhromažďovať údaje uložené v základných hostiteľoch a ponechať zadné vrátka, ktoré poskytujú trvalý prístup do systému.

Balada Injector navyše vykonáva rozsiahle vyhľadávanie v adresároch najvyššej úrovne súborového systému napadnutej webovej stránky, aby identifikoval zapisovateľné adresáre patriace iným stránkam. Tieto lokality zvyčajne vlastní rovnaký správca webu a zdieľajú rovnaký účet servera a povolenia k súborom. Kompromitovanie jednej stránky teda môže potenciálne poskytnúť prístup k viacerým ďalším stránkam, čím sa útok ešte viac rozšíri.

Ak tieto metódy zlyhajú, heslo správcu sa násilne uhádne pomocou sady 74 vopred určených poverení. Aby sa predišlo týmto typom útokov, používateľom WordPress sa dôrazne odporúča, aby aktualizovali softvér svojich webových stránok, odstraňovali všetky nepoužívané doplnky a témy a používali silné heslá pre svoje účty správcu WordPress.