Балада инжектор

Според изследователи по сигурността, продължаваща кампания за атака, доставяща зловреден софтуер, проследен като Balada Injector, е успяла да зарази над един милион уебсайтове на WordPress. Смята се, че злонамерената операция е активна поне от 2017 г. Киберпрестъпниците използват широк набор от различни техники, за да експлоатират известни и новооткрити уязвимости в темите и плъгините на WordPress, което им позволява да получат достъп до целевите уебсайтове.

Докладът с подробности за Balada Injector, публикуван от компанията за сигурност Sucuri, гласи, че нови вълни от атаки се случват на всеки две седмици. Има няколко характерни признака на тази конкретна злонамерена дейност, включително използването на String.fromCharCode обфускация, внедряването на лоши скриптове на новорегистрирани имена на домейни и пренасочвания към различни измамни сайтове. Заразените уебсайтове се използват за различни измамни цели, включително фалшива техническа поддръжка, лотарийни измами и измамни CAPTCHA страници, които призовават потребителите да включат известия, за да потвърдят, че не са роботи, като по този начин позволяват на нападателите да изпращат спам реклами.

Инжекторът Balada използва множество слабости в сигурността

През времето, когато е била разгърната, заплахата Balada Injector е прибягнала до използване на повече от 100 домейна и различни методи за използване на добре известни слабости в сигурността, като инжектиране на HTML и URL адрес на сайта. Основната цел на нападателите е била да получат достъп до идентификационните данни на базата данни, съхранявани във файла wp-config.php.

Освен това атаките са предназначени за достъп и изтегляне на важни файлове на сайта като резервни копия, дъмпове на база данни, регистрационни файлове и файлове за грешки. Те също така търсят всякакви остатъчни инструменти като администратор и phpmyadmin, които администраторите на сайта може да са оставили след извършване на задачи по поддръжката. Това предоставя на нападателите по-широка гама от възможности за компрометиране на уебсайта и кражба на чувствителни данни.

Balada Injector осигурява задник достъп до киберпрестъпниците

Злонамереният софтуер Balada Injector има способността да генерира измамни администраторски потребители на WordPress, да събира данни, съхранени в базовите хостове, и да оставя задни врати, които осигуряват постоянен достъп до системата.

Освен това Balada Injector извършва обширни търсения в директориите от най-високо ниво на файловата система на компрометирания уебсайт, за да идентифицира записваеми директории, принадлежащи на други сайтове. Обикновено тези сайтове са собственост на един и същ уебмастър и споделят същия сървърен акаунт и разрешения за файлове. По този начин компрометирането на един сайт може потенциално да осигури достъп до множество други сайтове, като допълнително разшири атаката.

Ако тези методи се провалят, паролата на администратора се отгатва принудително чрез набор от 74 предварително определени идентификационни данни. За да предотвратят тези типове атаки, потребителите на WordPress силно се насърчават да актуализират софтуера на уебсайта си, да премахват всички неизползвани плъгини и теми и да използват силни пароли за своите администраторски акаунти в WordPress.