बलदा इंजेक्टर
सुरक्षा शोधकर्ताओं के अनुसार, बलदा इंजेक्टर के रूप में ट्रैक किए गए मैलवेयर वितरित करने वाले एक हमले के अभियान ने दस लाख से अधिक वर्डप्रेस वेबसाइटों को संक्रमित करने में कामयाबी हासिल की है। ऐसा माना जाता है कि दुर्भावनापूर्ण ऑपरेशन कम से कम 2017 से सक्रिय है। साइबर अपराधी वर्डप्रेस थीम और प्लगइन्स में ज्ञात और नई खोजी गई कमजोरियों का फायदा उठाने के लिए विभिन्न तकनीकों की एक विस्तृत श्रृंखला का उपयोग करते हैं, जिससे उन्हें लक्षित वेबसाइटों तक पहुंच प्राप्त करने की अनुमति मिलती है।
सुरक्षा कंपनी सुकुरी द्वारा जारी की गई बलदा इंजेक्टर की रिपोर्ट में कहा गया है कि हर दो हफ्ते में हमले की नई लहरें आती हैं। इस विशेष दुर्भावनापूर्ण गतिविधि के कई हस्ताक्षर संकेत हैं, जिनमें String.fromCharCode अस्पष्टता का उपयोग, नए पंजीकृत डोमेन नामों पर खराब स्क्रिप्ट की तैनाती और विभिन्न स्कैम साइटों पर रीडायरेक्ट शामिल हैं। संक्रमित वेबसाइटों का उपयोग विभिन्न प्रकार के धोखाधड़ी उद्देश्यों के लिए किया जाता है, जिसमें नकली तकनीकी सहायता, लॉटरी धोखाधड़ी और दुष्ट कैप्चा पृष्ठ शामिल हैं, जो उपयोगकर्ताओं को यह सत्यापित करने के लिए सूचनाएं चालू करने का आग्रह करते हैं कि वे रोबोट नहीं हैं, इस प्रकार हमलावरों को स्पैम विज्ञापन भेजने में सक्षम बनाते हैं।
बलदा इंजेक्टर कई सुरक्षा कमजोरियों का फायदा उठाता है
समय के दौरान इसे तैनात किया गया है, बलदा इंजेक्टर खतरे ने 100 से अधिक डोमेन और एचटीएमएल इंजेक्शन और साइट यूआरएल जैसे प्रसिद्ध सुरक्षा कमजोरियों का फायदा उठाने के लिए विभिन्न तरीकों का उपयोग करने का सहारा लिया है। हमलावरों का प्राथमिक लक्ष्य wp-config.php फ़ाइल में संग्रहीत डेटाबेस क्रेडेंशियल्स तक पहुँच प्राप्त करना रहा है।
इसके अलावा, हमलों को महत्वपूर्ण साइट फ़ाइलों जैसे बैकअप, डेटाबेस डंप, लॉग फाइल और त्रुटि फ़ाइलों तक पहुंचने और डाउनलोड करने के लिए डिज़ाइन किया गया है। वे एडमिनिस्ट्रेटर और phpmyadmin जैसे किसी भी बचे हुए टूल को भी खोजते हैं जो साइट एडमिनिस्ट्रेटर रखरखाव कार्य करने के बाद पीछे छोड़ गए हों। यह हमलावरों को वेबसाइट से समझौता करने और संवेदनशील डेटा चोरी करने के लिए व्यापक विकल्प प्रदान करता है।
बलदा इंजेक्टर साइबर अपराधियों को बैकडोर एक्सेस प्रदान करता है
Balada Injector मैलवेयर में धोखेबाज़ वर्डप्रेस व्यवस्थापक उपयोगकर्ता उत्पन्न करने, अंतर्निहित होस्ट में संग्रहीत डेटा एकत्र करने और सिस्टम को लगातार पहुंच प्रदान करने वाले बैकडोर छोड़ने की क्षमता है।
इसके अलावा, बलदा इंजेक्टर अन्य साइटों से संबंधित लिखने योग्य निर्देशिकाओं की पहचान करने के लिए समझौता किए गए वेबसाइट की फाइल सिस्टम की शीर्ष-स्तरीय निर्देशिकाओं में व्यापक खोज करता है। आमतौर पर, ये साइटें एक ही वेबमास्टर के स्वामित्व में होती हैं और एक ही सर्वर खाते और फ़ाइल अनुमतियों को साझा करती हैं। इस प्रकार, एक साइट से समझौता करना संभावित रूप से कई अन्य साइटों तक पहुंच प्रदान कर सकता है, जिससे हमले का विस्तार हो सकता है।
यदि ये विधियाँ विफल हो जाती हैं, तो 74 पूर्वनिर्धारित क्रेडेंशियल्स के एक सेट के माध्यम से व्यवस्थापक पासवर्ड का बलपूर्वक अनुमान लगाया जाता है। इस प्रकार के हमलों को रोकने के लिए, वर्डप्रेस उपयोगकर्ताओं को दृढ़ता से प्रोत्साहित किया जाता है कि वे अपने वेबसाइट सॉफ़्टवेयर को अपडेट रखें, किसी भी अप्रयुक्त प्लगइन्स और थीम को हटा दें, और अपने वर्डप्रेस व्यवस्थापक खातों के लिए मजबूत पासवर्ड का उपयोग करें।
