انژکتور بلادا

به گفته محققان امنیتی، یک کمپین حمله در حال انجام که بدافزار را به عنوان Balada Injector ردیابی می کند، توانسته بیش از یک میلیون وب سایت وردپرس را آلوده کند. اعتقاد بر این است که این عملیات مخرب حداقل از سال 2017 فعال بوده است. مجرمان سایبری از طیف گسترده ای از تکنیک های مختلف برای سوء استفاده از آسیب پذیری های شناخته شده و تازه کشف شده در قالب ها و افزونه های وردپرس استفاده می کنند و به آنها امکان دسترسی به وب سایت های هدف را می دهد.

گزارشی که جزئیات Balada Injector را که توسط شرکت امنیتی Sucuri منتشر شده است، بیان می‌کند که امواج حمله جدید هر دو هفته یکبار اتفاق می‌افتد. نشانه‌های امضای متعددی از این فعالیت مخرب خاص وجود دارد، از جمله استفاده از مبهم‌سازی String.fromCharCode، استقرار اسکریپت‌های بد در نام‌های دامنه جدید ثبت‌شده، و تغییر مسیر به سایت‌های کلاهبرداری مختلف. وب سایت های آلوده برای اهداف کلاهبرداری مختلفی از جمله پشتیبانی فنی جعلی، تقلب های قرعه کشی، و صفحات CAPTCHA سرکش استفاده می شوند که از کاربران می خواهند تا اعلان ها را روشن کنند تا تأیید کنند که ربات نیستند، بنابراین مهاجمان را قادر می سازد تبلیغات هرزنامه ارسال کنند.

انژکتور Balada از بسیاری از نقاط ضعف امنیتی سوء استفاده می کند

تهدید Balada Injector در طول مدتی که به کار گرفته شده است، به استفاده از بیش از 100 دامنه و روش های مختلف برای سوء استفاده از ضعف های امنیتی شناخته شده، مانند تزریق HTML و URL سایت متوسل شده است. هدف اصلی مهاجمان دسترسی به اعتبار پایگاه داده ذخیره شده در فایل wp-config.php بوده است.

علاوه بر این، حملات برای دسترسی و دانلود فایل های مهم سایت مانند پشتیبان گیری، تخلیه پایگاه داده، فایل های گزارش و فایل های خطا طراحی شده اند. آنها همچنین ابزارهای باقیمانده ای مانند adminer و phpmyadmin را که ممکن است مدیران سایت پس از انجام کارهای تعمیر و نگهداری پشت سر گذاشته باشند، جستجو می کنند. این به مهاجمان طیف وسیع تری از گزینه ها را برای به خطر انداختن وب سایت و سرقت داده های حساس ارائه می دهد.

انژکتور Balada دسترسی درب پشتی را برای مجرمان سایبری فراهم می کند

بدافزار Balada Injector این توانایی را دارد که کاربران متقلب وردپرس را ایجاد کند، داده‌های ذخیره شده در میزبان‌های اصلی را جمع‌آوری کند و درب‌های پشتی را بگذارد که دسترسی دائمی به سیستم را فراهم می‌کنند.

علاوه بر این، Balada Injector جستجوهای گسترده ای را در دایرکتوری های سطح بالای سیستم فایل وب سایت در معرض خطر برای شناسایی دایرکتوری های قابل نوشتن متعلق به سایت های دیگر انجام می دهد. به طور معمول، این سایت‌ها متعلق به یک وب‌مستر هستند و مجوزهای فایل و حساب سرور یکسانی دارند. بنابراین، به خطر انداختن یک سایت به طور بالقوه می تواند دسترسی به چندین سایت دیگر را فراهم کند و حمله را بیشتر گسترش دهد.

اگر این روش ها با شکست مواجه شوند، رمز عبور مدیریت به اجبار از طریق مجموعه ای از 74 اعتبار از پیش تعیین شده حدس زده می شود. برای جلوگیری از این نوع حملات، کاربران وردپرس قویاً تشویق می‌شوند که نرم‌افزار وب‌سایت خود را به‌روز نگه دارند، افزونه‌ها و تم‌های بلااستفاده را حذف کنند و از رمزهای عبور قوی برای حساب‌های مدیریت وردپرس خود استفاده کنند.