Balada injektor

Enligt säkerhetsforskare har en pågående attackkampanj som levererar skadlig programvara spårat som Balada Injector lyckats infektera över en miljon WordPress-webbplatser. Man tror att den skadliga operationen har varit aktiv sedan åtminstone 2017. De cyberbrottslingar använder en lång rad olika tekniker för att utnyttja kända och nyupptäckta sårbarheter i WordPress-teman och plugins, vilket gör att de kan få tillgång till de riktade webbplatserna.

Rapporten som beskriver Balada Injector, släppt av säkerhetsföretaget Sucuri, säger att nya attackvågor äger rum varannan vecka. Det finns flera signaturtecken på just den här skadliga aktiviteten, inklusive användningen av String.fromCharCode-obfuskation, distribution av dåliga skript på nyligen registrerade domännamn och omdirigeringar till olika bluffwebbplatser. De infekterade webbplatserna används för en mängd olika bedrägliga ändamål, inklusive falsk teknisk support, lotteribedrägerier och oseriösa CAPTCHA-sidor som uppmanar användare att aktivera aviseringar för att verifiera att de inte är robotar, vilket gör det möjligt för angriparna att skicka skräppostannonser.

Balada-injektorn utnyttjar många säkerhetsbrister

Under tiden som det har distribuerats har Balada Injector-hotet använt sig av mer än 100 domäner och olika metoder för att utnyttja välkända säkerhetsbrister, såsom HTML-injektion och webbplats-URL. Angriparnas primära mål har varit att få tillgång till databasuppgifterna lagrade i filen wp-config.php.

Dessutom är attackerna utformade för att komma åt och ladda ner viktiga webbplatsfiler som säkerhetskopior, databasdumpar, loggfiler och felfiler. De söker också efter överblivna verktyg som adminer och phpmyadmin som webbplatsadministratörer kan ha lämnat efter sig efter att ha utfört underhållsuppgifter. Detta ger angriparna ett bredare utbud av alternativ för att äventyra webbplatsen och stjäla känslig data.

Balada-injektorn ger bakdörr åtkomst till cyberkriminella

Balada Injector malware har förmågan att generera bedrägliga WordPress-adminanvändare, samla in data som lagras i de underliggande värdarna och lämna bakdörrar som ger beständig åtkomst till systemet.

Dessutom utför Balada Injector omfattande sökningar i toppnivåkatalogerna i den komprometterade webbplatsens filsystem för att identifiera skrivbara kataloger som tillhör andra webbplatser. Vanligtvis ägs dessa webbplatser av samma webbmaster och delar samma serverkonto och filbehörigheter. Att kompromissa med en webbplats kan alltså ge tillgång till flera andra webbplatser, vilket ytterligare utökar attacken.

Om dessa metoder misslyckas, gissas administratörslösenordet med kraft via en uppsättning av 74 förutbestämda referenser. För att förhindra dessa typer av attacker uppmuntras WordPress-användare att hålla sin webbprogramvara uppdaterad, ta bort oanvända plugins och teman och använda starka lösenord för sina WordPress-administratörskonton.