Інжектор Балада

За даними дослідників із безпеки, триваюча кампанія атак із зловмисним програмним забезпеченням, відстежуваним як Balada Injector, зуміла заразити понад мільйон веб-сайтів WordPress. Вважається, що зловмисна операція була активна принаймні з 2017 року. Кіберзлочинці використовують широкий спектр різних методів, щоб використовувати відомі та нещодавно виявлені вразливості в темах і плагінах WordPress, що дозволяє їм отримати доступ до цільових веб-сайтів.

У звіті з детальним описом Balada Injector, опублікованому охоронною компанією Sucuri, зазначено, що нові хвилі атак відбуваються кожні пару тижнів. Є кілька характерних ознак цієї конкретної зловмисної діяльності, зокрема використання обфускації String.fromCharCode, розгортання поганих сценаріїв на щойно зареєстрованих доменних іменах і перенаправлення на різні шахрайські сайти. Інфіковані веб-сайти використовуються для різноманітних шахрайських цілей, включаючи підроблену технічну підтримку, шахрайство в лотереї та шахрайські сторінки CAPTCHA, які закликають користувачів увімкнути сповіщення, щоб підтвердити, що вони не роботи, таким чином дозволяючи зловмисникам надсилати спам-рекламу.

Інжектор Balada використовує численні недоліки безпеки

За час розгортання загроза Balada Injector використовувала понад 100 доменів і різні методи для використання добре відомих недоліків безпеки, таких як ін’єкція HTML і URL-адреса сайту. Основною метою зловмисників було отримати доступ до облікових даних бази даних, що зберігаються у файлі wp-config.php.

Крім того, атаки призначені для доступу та завантаження важливих файлів сайту, таких як резервні копії, дампи баз даних, файли журналів і файли помилок. Вони також шукають будь-які залишкові інструменти, такі як adminer і phpmyadmin, які адміністратори сайту могли залишити після виконання завдань з обслуговування. Це надає зловмисникам більше можливостей для зламу веб-сайту та викрадення конфіденційних даних.

Інжектор Balada надає кіберзлочинцям бекдор-доступ

Зловмисне програмне забезпечення Balada Injector має здатність генерувати шахрайських адміністраторів WordPress, збирати дані, що зберігаються на основних хостах, і залишати бекдори, які забезпечують постійний доступ до системи.

Крім того, Balada Injector виконує розширений пошук у каталогах верхнього рівня файлової системи скомпрометованого веб-сайту, щоб ідентифікувати доступні для запису каталоги, що належать іншим сайтам. Як правило, ці сайти належать одному веб-майстру та мають спільний обліковий запис на сервері та права доступу до файлів. Таким чином, компрометація одного сайту потенційно може надати доступ до багатьох інших сайтів, ще більше розширюючи атаку.

Якщо ці методи не вдаються, пароль адміністратора примусово вгадується за допомогою набору з 74 попередньо визначених облікових даних. Щоб запобігти цим типам атак, користувачам WordPress настійно рекомендується постійно оновлювати програмне забезпечення свого веб-сайту, видаляти всі плагіни та теми, які не використовуються, і використовувати надійні паролі для облікових записів адміністратора WordPress.