Đầu phun Balada

Theo các nhà nghiên cứu bảo mật, một chiến dịch tấn công đang diễn ra cung cấp phần mềm độc hại được theo dõi là Balada Injector đã quản lý để lây nhiễm hơn một triệu trang web WordPress. Người ta tin rằng hoạt động độc hại đã hoạt động ít nhất là từ năm 2017. Tội phạm mạng sử dụng nhiều kỹ thuật khác nhau để khai thác các lỗ hổng đã biết và mới được phát hiện trong các chủ đề và plugin của WordPress, cho phép chúng có quyền truy cập vào các trang web được nhắm mục tiêu.

Báo cáo chi tiết về Balada Injector, do công ty bảo mật Sucuri phát hành, nói rằng các đợt tấn công mới diễn ra cứ sau vài tuần. Có một số dấu hiệu đặc trưng của hoạt động độc hại cụ thể này, bao gồm việc sử dụng String.fromCharCode obfuscation, triển khai các tập lệnh xấu trên các tên miền mới đăng ký và chuyển hướng đến các trang web lừa đảo khác nhau. Các trang web bị nhiễm được sử dụng cho nhiều mục đích lừa đảo, bao gồm hỗ trợ kỹ thuật giả mạo, gian lận xổ số và các trang CAPTCHA lừa đảo khuyến khích người dùng bật thông báo để xác minh rằng họ không phải là người máy, do đó tạo điều kiện cho những kẻ tấn công gửi quảng cáo spam.

Balada Injector khai thác nhiều điểm yếu bảo mật

Trong thời gian được triển khai, mối đe dọa Balada Injector đã sử dụng hơn 100 tên miền và nhiều phương pháp khác nhau để khai thác các điểm yếu bảo mật nổi tiếng, chẳng hạn như HTML injection và URL trang web. Mục tiêu chính của những kẻ tấn công là giành quyền truy cập vào thông tin đăng nhập cơ sở dữ liệu được lưu trữ trong tệp wp-config.php.

Hơn nữa, các cuộc tấn công được thiết kế để truy cập và tải xuống các tệp trang web quan trọng như bản sao lưu, kết xuất cơ sở dữ liệu, tệp nhật ký và tệp lỗi. Họ cũng tìm kiếm bất kỳ công cụ còn sót lại nào như adminer và phpmyadmin mà quản trị viên trang web có thể đã bỏ lại sau khi thực hiện các nhiệm vụ bảo trì. Điều này cung cấp cho những kẻ tấn công nhiều tùy chọn hơn để xâm phạm trang web và đánh cắp dữ liệu nhạy cảm.

Balada Injector cung cấp quyền truy cập cửa sau cho tội phạm mạng

Phần mềm độc hại Balada Injector có khả năng tạo người dùng quản trị viên WordPress lừa đảo, thu thập dữ liệu được lưu trữ trong các máy chủ bên dưới và để lại các cửa hậu cung cấp quyền truy cập liên tục vào hệ thống.

Hơn nữa, Balada Injector thực hiện tìm kiếm mở rộng trong các thư mục cấp cao nhất của hệ thống tệp của trang web bị xâm nhập để xác định các thư mục có thể ghi thuộc về các trang web khác. Thông thường, các trang web này được sở hữu bởi cùng một quản trị viên web và chia sẻ cùng một tài khoản máy chủ và quyền đối với tệp. Do đó, việc xâm phạm một trang web có khả năng cung cấp quyền truy cập vào nhiều trang web khác, tiếp tục mở rộng cuộc tấn công.

Nếu các phương pháp này không thành công, mật khẩu quản trị viên sẽ được đoán một cách mạnh mẽ thông qua một bộ 74 thông tin đăng nhập được xác định trước. Để ngăn chặn các kiểu tấn công này, người dùng WordPress được khuyến khích cập nhật phần mềm trang web của họ, xóa mọi plugin và chủ đề không sử dụng cũng như sử dụng mật khẩu mạnh cho tài khoản quản trị viên WordPress của họ.