Injektor Balada

Podle bezpečnostních výzkumníků se pokračující útočné kampani přinášející malware sledovaný jako Balada Injector podařilo infikovat více než jeden milion webů WordPress. Předpokládá se, že zákeřná operace je aktivní minimálně od roku 2017. Kyberzločinci používají širokou škálu různých technik ke zneužití známých a nově objevených zranitelností v tématech a pluginech WordPress, což jim umožňuje získat přístup k cíleným webovým stránkám.

Zpráva podrobně popisující Balada Injector, kterou vydala bezpečnostní společnost Sucuri, uvádí, že nové útočné vlny probíhají každých pár týdnů. Existuje několik příznaků této konkrétní škodlivé aktivity, včetně použití zmatku String.fromCharCode, nasazení špatných skriptů na nově zaregistrovaná doménová jména a přesměrování na různé podvodné stránky. Infikované webové stránky se používají k různým podvodným účelům, včetně falešné technické podpory, loterijních podvodů a nepoctivých stránek CAPTCHA, které uživatele vyzývají, aby zapnuli oznámení, aby si ověřili, že nejsou roboti, a umožňují tak útočníkům rozesílat spamové reklamy.

Injektor Balada využívá četné bezpečnostní slabiny

Během doby, kdy byla nasazena, se hrozba Balada Injector uchýlila k využití více než 100 domén a různých metod ke zneužití dobře známých bezpečnostních slabin, jako je HTML injection a Site URL. Primárním cílem útočníků bylo získat přístup k přihlašovacím údajům databáze uloženým v souboru wp-config.php.

Kromě toho jsou útoky navrženy pro přístup a stahování důležitých souborů webu, jako jsou zálohy, výpisy z databáze, soubory protokolu a soubory chyb. Hledají také jakékoli zbylé nástroje, jako je adminer a phpmyadmin, které mohou administrátoři stránek zanechat po provedení úkolů údržby. To poskytuje útočníkům širší škálu možností kompromitovat web a ukrást citlivá data.

Injektor Balada poskytuje kyberzločincům přístup zadními vrátky

Malware Balada Injector má schopnost generovat podvodné administrátory WordPress, shromažďovat data uložená v základních hostitelích a ponechat zadní vrátka, která poskytují trvalý přístup do systému.

Balada Injector navíc provádí rozsáhlé vyhledávání v adresářích nejvyšší úrovně souborového systému napadeného webu, aby identifikoval zapisovatelné adresáře patřící jiným webům. Tyto stránky obvykle vlastní stejný webmaster a sdílejí stejný účet serveru a oprávnění k souborům. Zkompromitování jednoho webu tedy může potenciálně poskytnout přístup k více jiným webům, což dále rozšíří útok.

Pokud tyto metody selžou, je heslo správce násilně uhodnuto pomocí sady 74 předem určených přihlašovacích údajů. Aby se zabránilo těmto typům útoků, důrazně se doporučuje uživatelům WordPress, aby aktualizovali software svých webových stránek, odstranili všechny nepoužívané pluginy a motivy a používali silná hesla pro své účty správce WordPress.