Balada injektor

Prema sigurnosnim istraživačima, tekuća kampanja napada koja isporučuje malware praćen kao Balada Injector uspjela je zaraziti više od milijun WordPress web stranica. Vjeruje se da je zlonamjerna operacija aktivna najmanje od 2017. Kibernetički kriminalci koriste širok raspon različitih tehnika za iskorištavanje poznatih i novootkrivenih ranjivosti u WordPress temama i dodacima, što im omogućuje pristup ciljanim web stranicama.

Izvješće s detaljima o Balada Injectoru, koje je objavila zaštitarska tvrtka Sucuri, navodi da se novi valovi napada događaju svakih nekoliko tjedana. Postoji nekoliko znakova potpisivanja ove konkretne zlonamjerne aktivnosti, uključujući korištenje zamagljivanja String.fromCharCode, implementaciju loših skripti na novoregistriranim nazivima domena i preusmjeravanja na razne stranice za prijevare. Zaražene web stranice koriste se u razne lažne svrhe, uključujući lažnu tehničku podršku, lutrijske prijevare i lažne CAPTCHA stranice koje potiču korisnike da uključe obavijesti kako bi potvrdili da nisu roboti, čime se napadačima omogućuje slanje neželjenih oglasa.

Balada Injector iskorištava brojne sigurnosne slabosti

Tijekom vremena kada je postavljena, prijetnja Balada Injector pribjegla je korištenju više od 100 domena i različitim metodama za iskorištavanje dobro poznatih sigurnosnih slabosti, kao što je ubacivanje HTML-a i URL-a stranice. Primarni cilj napadača bio je dobiti pristup vjerodajnicama baze podataka pohranjenim u datoteci wp-config.php.

Nadalje, napadi su osmišljeni za pristup i preuzimanje važnih datoteka web-mjesta kao što su sigurnosne kopije, ispisi baze podataka, datoteke dnevnika i datoteke s pogreškama. Oni također traže bilo kakve zaostale alate kao što su administrator i phpmyadmin koje su administratori stranice možda ostavili nakon obavljanja zadataka održavanja. To napadačima pruža širi raspon opcija za kompromitiranje web stranice i krađu osjetljivih podataka.

Balada Injector pruža backdoor pristup kibernetičkim kriminalcima

Zlonamjerni softver Balada Injector ima mogućnost generiranja lažnih administratorskih korisnika WordPressa, prikupljanja podataka pohranjenih na temeljnim hostovima i ostavljanja stražnjih vrata koja pružaju trajni pristup sustavu.

Štoviše, Balada Injector izvodi opsežna pretraživanja u direktorijima najviše razine datotečnog sustava kompromitirane web stranice kako bi identificirao direktorije u koje se može pisati i koji pripadaju drugim stranicama. Obično su te stranice u vlasništvu istog webmastera i dijele isti račun poslužitelja i dozvole za datoteke. Stoga kompromitiranje jedne stranice potencijalno može omogućiti pristup više drugih stranica, dodatno proširujući napad.

Ako ove metode ne uspiju, lozinka administratora se prisilno pogađa putem skupa od 74 unaprijed određene vjerodajnice. Kako bi spriječili ove vrste napada, korisnike WordPressa snažno se potiče da ažuriraju softver svoje web stranice, uklone sve nekorištene dodatke i teme i koriste jake lozinke za svoje WordPress administratorske račune.