Balada Injektor

Biztonsági kutatók szerint a Balada Injector néven nyomon követett rosszindulatú programokat továbbító, folyamatban lévő támadási kampány több mint egymillió WordPress webhelyet sikerült megfertőznie. A feltételezések szerint a rosszindulatú művelet legalább 2017 óta aktív. A kiberbűnözők különféle technikák széles skáláját alkalmazzák a WordPress témák és bővítmények ismert és újonnan felfedezett sebezhetőségeinek kihasználására, lehetővé téve számukra, hogy hozzáférjenek a megcélzott webhelyekhez.

A Balada Injectort részletező jelentés, amelyet a Sucuri biztonsági cég adott ki, azt állítja, hogy néhány hetente újabb támadási hullámok következnek be. Számos jele van ennek a rosszindulatú tevékenységnek, beleértve a String.fromCharCode elhomályosítását, a rossz szkriptek telepítését az újonnan regisztrált tartományneveken, valamint a különböző átverési webhelyekre történő átirányításokat. A fertőzött webhelyeket különféle csalási célokra használják fel, beleértve a hamis technikai támogatást, a lottó csalásokat és a csaló CAPTCHA oldalakat, amelyek arra kérik a felhasználókat, hogy kapcsolják be az értesítéseket, hogy ellenőrizzék, nem robotok, így lehetővé téve a támadók számára, hogy spam hirdetéseket küldjenek.

A Balada Injector számos biztonsági hiányosságot kihasznál

A telepítés ideje alatt a Balada Injector fenyegetés több mint 100 tartományt és különféle módszereket használt fel a jól ismert biztonsági gyengeségek, például a HTML injekció és a webhely URL-címének kihasználására. A támadók elsődleges célja az volt, hogy hozzáférjenek a wp-config.php fájlban tárolt adatbázis hitelesítő adataihoz.

Ezenkívül a támadások célja olyan fontos webhelyfájlok elérése és letöltése, mint a biztonsági másolatok, adatbázis-kiíratások, naplófájlok és hibafájlok. Megkeresik az olyan megmaradt eszközöket is, mint az adminer és a phpmyadmin, amelyeket a webhely rendszergazdái a karbantartási feladatok elvégzése után hagytak hátra. Ez a támadóknak szélesebb lehetőséget kínál a webhely feltörésére és érzékeny adatok ellopására.

A Balada Injector hátsó ajtón keresztül hozzáférhet a kiberbűnözőkhöz

A Balada Injector malware képes csalárd WordPress adminisztrátor felhasználókat generálni, a mögöttes gazdagépeken tárolt adatokat gyűjteni, és olyan hátsó ajtókat hagyni, amelyek állandó hozzáférést biztosítanak a rendszerhez.

Sőt, a Balada Injector kiterjedt kereséseket végez a feltört webhely fájlrendszerének legfelső szintű könyvtáraiban, hogy azonosítsa a más webhelyekhez tartozó írható könyvtárakat. Ezek a webhelyek általában ugyanannak a webmesternek a tulajdonosai, és ugyanazon a szerverfiókon és fájlengedélyeken osztoznak. Így egy webhely feltörése potenciálisan több másik webhelyhez is hozzáférést biztosíthat, tovább bővítve a támadást.

Ha ezek a módszerek sikertelenek, az adminisztrátori jelszót 74 előre meghatározott hitelesítő adatból álló készleten keresztül erőszakosan kitalálja a rendszer. Az ilyen típusú támadások megelőzése érdekében a WordPress felhasználókat erősen javasoljuk, hogy folyamatosan frissítsék webhelyük szoftverét, távolítsák el a nem használt bővítményeket és témákat, és használjanak erős jelszavakat WordPress rendszergazdai fiókjaikhoz.