Injektor Balada

Po navedbah varnostnih raziskovalcev je tekoča kampanja napadov, ki prinaša zlonamerno programsko opremo, sledena kot Balada Injector, uspela okužiti več kot milijon spletnih mest WordPress. Domneva se, da je zlonamerna operacija aktivna vsaj od leta 2017. Kibernetski kriminalci uporabljajo široko paleto različnih tehnik za izkoriščanje znanih in na novo odkritih ranljivosti v temah in vtičnikih WordPress, kar jim omogoča dostop do ciljnih spletnih mest.

Poročilo s podrobnostmi o Balada Injectorju, ki ga je izdalo varnostno podjetje Sucuri, navaja, da se novi valovi napadov zgodijo vsakih nekaj tednov. Obstaja več značilnih znakov te posebne zlonamerne dejavnosti, vključno z uporabo zakrivanja String.fromCharCode, uvedbo slabih skriptov na novo registriranih imenih domen in preusmeritvami na različna spletna mesta s prevarami. Okužena spletna mesta se uporabljajo za različne goljufive namene, vključno z lažno tehnično podporo, goljufijami na loteriji in lažnimi stranmi CAPTCHA, ki uporabnike pozivajo, naj vklopijo obvestila, da preverijo, ali niso roboti, in tako napadalcem omogočijo pošiljanje neželenih oglasov.

Injektor Balada izkorišča številne varnostne slabosti

V času, ko je bila uvedena, se je grožnja Balada Injector zatekla k uporabi več kot 100 domen in različnih metod za izkoriščanje dobro znanih varnostnih pomanjkljivosti, kot sta vstavljanje HTML in URL spletnega mesta. Glavni cilj napadalcev je bil pridobiti dostop do poverilnic baze podatkov, shranjenih v datoteki wp-config.php.

Poleg tega so napadi zasnovani za dostop in prenos pomembnih datotek spletnega mesta, kot so varnostne kopije, izpisi baze podatkov, dnevniške datoteke in datoteke z napakami. Prav tako iščejo vsa ostanka orodij, kot sta skrbnik in phpmyadmin, ki so jih skrbniki spletnega mesta morda pustili za sabo po izvajanju vzdrževalnih nalog. To napadalcem ponuja več možnosti za ogrožanje spletne strani in krajo občutljivih podatkov.

Injektor Balada kiberkriminalcem omogoča dostop prek zakulisnih vrat

Zlonamerna programska oprema Balada Injector lahko ustvari goljufive skrbniške uporabnike WordPressa, zbira podatke, shranjene v osnovnih gostiteljih, in pusti stranska vrata, ki zagotavljajo trajen dostop do sistema.

Poleg tega Balada Injector izvaja obsežna iskanja v imenikih najvišje ravni datotečnega sistema ogroženega spletnega mesta, da identificira zapisljive imenike, ki pripadajo drugim spletnim mestom. Običajno so ta spletna mesta v lasti istega spletnega skrbnika in si delijo isti račun strežnika ter dovoljenja za datoteke. Tako lahko ogrožanje enega spletnega mesta potencialno omogoči dostop do več drugih spletnih mest, kar še dodatno razširi napad.

Če te metode ne uspejo, se skrbniško geslo na silo ugane prek nabora 74 vnaprej določenih poverilnic. Za preprečitev tovrstnih napadov se uporabnikom WordPressa močno priporoča, da posodabljajo programsko opremo svojega spletnega mesta, odstranijo vse neuporabljene vtičnike in teme ter uporabljajo močna gesla za svoje skrbniške račune WordPress.