حاقن Balada

وفقًا للباحثين الأمنيين ، تمكنت حملة هجوم مستمرة تقدم برامج ضارة تم تعقبها مثل Balada Injector من إصابة أكثر من مليون موقع WordPress. يُعتقد أن العملية الخبيثة كانت نشطة منذ عام 2017 على الأقل. يستخدم مجرمو الإنترنت مجموعة واسعة من التقنيات المختلفة لاستغلال نقاط الضعف المعروفة والمكتشفة حديثًا في قوالب WordPress والمكونات الإضافية ، مما يسمح لهم بالوصول إلى المواقع المستهدفة.

يشير التقرير الذي يفصل عن Balada Injector ، الذي أصدرته شركة الأمن Sucuri ، إلى حدوث موجات هجوم جديدة كل أسبوعين. هناك العديد من علامات التوقيع على هذا النشاط الضار ، بما في ذلك استخدام String.fromCharCode obfuscation ، ونشر نصوص برمجية سيئة على أسماء النطاقات المسجلة حديثًا ، وإعادة التوجيه إلى مواقع احتيال مختلفة. تُستخدم مواقع الويب المصابة لمجموعة متنوعة من الأغراض الاحتيالية ، بما في ذلك الدعم الفني المزيف ، وعمليات الاحتيال في اليانصيب ، وصفحات CAPTCHA المارقة التي تحث المستخدمين على تشغيل الإشعارات للتحقق من أنهم ليسوا روبوتات ، وبالتالي تمكين المهاجمين من إرسال إعلانات بريد عشوائي.

يستغل حاقن Balada العديد من نقاط الضعف الأمنية

خلال الوقت الذي تم نشره فيه ، لجأ تهديد Balada Injector إلى استخدام أكثر من 100 مجال وطرق مختلفة لاستغلال نقاط الضعف الأمنية المعروفة ، مثل حقن HTML وعنوان URL للموقع. كان الهدف الأساسي للمهاجمين هو الوصول إلى بيانات اعتماد قاعدة البيانات المخزنة في ملف wp-config.php.

علاوة على ذلك ، تم تصميم الهجمات للوصول إلى ملفات الموقع المهمة وتنزيلها مثل النسخ الاحتياطية ، ومخلفات قاعدة البيانات ، وملفات السجل ، وملفات الأخطاء. يبحثون أيضًا عن أي أدوات متبقية مثل adminer و phpmyadmin التي ربما تركها مسؤولو الموقع بعد أداء مهام الصيانة. يوفر هذا للمهاجمين مجموعة واسعة من الخيارات لاختراق موقع الويب وسرقة البيانات الحساسة.

يوفر حاقن Balada إمكانية الوصول إلى الباب الخلفي لمجرمي الإنترنت

البرنامج الضار Balada Injector لديه القدرة على إنشاء مستخدمي WordPress المسؤولين الاحتياليين ، وجمع البيانات المخزنة في المضيفين الأساسيين ، وترك الأبواب الخلفية التي توفر وصولاً مستمراً إلى النظام.

علاوة على ذلك ، يقوم Balada Injector بإجراء عمليات بحث مكثفة في الدلائل عالية المستوى لنظام ملفات موقع الويب المخترق لتحديد الأدلة القابلة للكتابة التي تنتمي إلى مواقع أخرى. عادةً ما تكون هذه المواقع مملوكة لنفس مشرف الموقع وتشارك نفس حساب الخادم وأذونات الملف. وبالتالي ، فإن اختراق موقع واحد يمكن أن يوفر إمكانية الوصول إلى عدة مواقع أخرى ، مما يؤدي إلى توسيع نطاق الهجوم.

إذا فشلت هذه الطرق ، فسيتم تخمين كلمة مرور المسؤول بقوة عبر مجموعة من 74 بيانات اعتماد محددة مسبقًا. لمنع هذه الأنواع من الهجمات ، يتم تشجيع مستخدمي WordPress بشدة على تحديث برامج مواقع الويب الخاصة بهم ، وإزالة أي مكونات إضافية وموضوعات غير مستخدمة ، واستخدام كلمات مرور قوية لحسابات مسؤول WordPress الخاصة بهم.