Balada injektor

Ifølge sikkerhedsforskere har en igangværende angrebskampagne, der leverer malware sporet som Balada Injector, formået at inficere over en million WordPress-websteder. Det menes, at den ondsindede operation har været aktiv siden mindst 2017. De cyberkriminelle bruger en lang række forskellige teknikker til at udnytte kendte og nyopdagede sårbarheder i WordPress-temaer og plugins, hvilket giver dem mulighed for at få adgang til de målrettede websteder.

Rapporten med detaljer om Balada Injector, udgivet af sikkerhedsfirmaet Sucuri, fastslår, at nye angrebsbølger finder sted hvert par uger. Der er adskillige signaturtegn på denne særlige ondsindede aktivitet, herunder brugen af String.fromCharCode-obfuscation, udrulning af dårlige scripts på nyligt registrerede domænenavne og omdirigeringer til forskellige svindelsider. De inficerede websteder bruges til en række svigagtige formål, herunder falsk teknisk support, lotterisvindel og useriøse CAPTCHA-sider, der opfordrer brugerne til at slå meddelelser til for at bekræfte, at de ikke er robotter, og dermed gøre det muligt for angriberne at sende spam-reklamer.

Balada-injektoren udnytter adskillige sikkerhedssvagheder

I løbet af den tid, den er blevet implementeret, har Balada Injector-truslen tyet til at bruge mere end 100 domæner og forskellige metoder til at udnytte velkendte sikkerhedssvagheder, såsom HTML-injektion og websteds-URL. Angribernes primære mål har været at få adgang til database-legitimationsoplysningerne, der er gemt i filen wp-config.php.

Desuden er angrebene designet til at få adgang til og downloade vigtige webstedsfiler såsom sikkerhedskopier, databasedumps, logfiler og fejlfiler. De søger også efter eventuelle resterende værktøjer som adminer og phpmyadmin, som webstedsadministratorer kan have efterladt efter at have udført vedligeholdelsesopgaver. Dette giver angriberne en bredere vifte af muligheder for at kompromittere hjemmesiden og stjæle følsomme data.

Balada-injektoren giver bagdørsadgang til cyberkriminelle

Balada Injector-malwaren har evnen til at generere svigagtige WordPress-administratorbrugere, indsamle data gemt i de underliggende værter og efterlade bagdøre, der giver vedvarende adgang til systemet.

Desuden udfører Balada Injector omfattende søgninger i mapperne på øverste niveau i det kompromitterede websteds filsystem for at identificere skrivbare mapper, der tilhører andre websteder. Disse websteder ejes typisk af den samme webmaster og deler den samme serverkonto og filtilladelser. Således kan kompromittering af et websted potentielt give adgang til flere andre websteder, hvilket yderligere udvider angrebet.

Hvis disse metoder mislykkes, gættes admin-adgangskoden kraftigt via et sæt af 74 forudbestemte legitimationsoplysninger. For at forhindre disse typer angreb opfordres WordPress-brugere kraftigt til at holde deres webstedssoftware opdateret, fjerne eventuelle ubrugte plugins og temaer og bruge stærke adgangskoder til deres WordPress-administratorkonti.