Balada Injector

Menurut penyelidik keselamatan, kempen serangan berterusan yang menyampaikan perisian hasad yang dikesan sebagai Balada Injector telah berjaya menjangkiti lebih satu juta laman web WordPress. Adalah dipercayai bahawa operasi berniat jahat itu telah aktif sejak sekurang-kurangnya 2017. Penjenayah siber menggunakan pelbagai teknik berbeza untuk mengeksploitasi kelemahan yang diketahui dan baru ditemui dalam tema dan pemalam WordPress, membolehkan mereka mendapat akses ke tapak web yang disasarkan.

Laporan yang memperincikan Balada Injector, yang dikeluarkan oleh syarikat keselamatan Sucuri, menyatakan bahawa gelombang serangan baru berlaku setiap beberapa minggu. Terdapat beberapa tanda tanda tangan aktiviti berniat jahat ini, termasuk penggunaan String.fromCharCode obfuscation, penggunaan skrip buruk pada nama domain yang baru didaftarkan dan ubah hala ke pelbagai tapak penipuan. Tapak web yang dijangkiti digunakan untuk pelbagai tujuan penipuan, termasuk sokongan teknologi palsu, penipuan loteri dan halaman CAPTCHA penyangak yang menggesa pengguna menghidupkan pemberitahuan untuk mengesahkan bahawa mereka bukan robot, sekali gus membolehkan penyerang menghantar iklan spam.

Penyuntik Balada Mengeksploitasi Pelbagai Kelemahan Keselamatan

Sepanjang tempoh ia digunakan, ancaman Balada Injector telah menggunakan lebih daripada 100 domain dan pelbagai kaedah untuk mengeksploitasi kelemahan keselamatan yang terkenal, seperti suntikan HTML dan URL Tapak. Matlamat utama penyerang adalah untuk mendapatkan akses kepada bukti kelayakan pangkalan data yang disimpan dalam fail wp-config.php.

Tambahan pula, serangan direka untuk mengakses dan memuat turun fail tapak penting seperti sandaran, pembuangan pangkalan data, fail log dan fail ralat. Mereka juga mencari apa-apa alat yang tinggal seperti pentadbir dan phpmyadmin yang mungkin ditinggalkan oleh pentadbir tapak selepas melaksanakan tugas penyelenggaraan. Ini memberikan penyerang dengan pelbagai pilihan yang lebih luas untuk menjejaskan tapak web dan mencuri data sensitif.

Penyuntik Balada Menyediakan Akses Pintu Belakang kepada Penjenayah Siber

Malware Balada Injector mempunyai keupayaan untuk menjana pengguna pentadbir WordPress yang menipu, mengumpul data yang disimpan dalam hos asas dan meninggalkan pintu belakang yang menyediakan akses berterusan kepada sistem.

Lebih-lebih lagi, Balada Injector melakukan carian yang meluas dalam direktori peringkat teratas sistem fail tapak web yang terjejas untuk mengenal pasti direktori boleh tulis milik tapak lain. Biasanya, tapak ini dimiliki oleh juruweb yang sama dan berkongsi akaun pelayan dan kebenaran fail yang sama. Oleh itu, menjejaskan satu tapak berpotensi memberikan akses kepada berbilang tapak lain, seterusnya mengembangkan serangan.

Jika kaedah ini gagal, kata laluan pentadbir diteka secara paksa melalui satu set 74 bukti kelayakan yang telah ditetapkan. Untuk mengelakkan jenis serangan ini, pengguna WordPress amat digalakkan untuk memastikan perisian tapak web mereka dikemas kini, mengalih keluar sebarang pemalam dan tema yang tidak digunakan, dan menggunakan kata laluan yang kukuh untuk akaun pentadbir WordPress mereka.