Balada injektor

Ifølge sikkerhetsforskere har en pågående angrepskampanje som leverer skadelig programvare, sporet som Balada Injector, klart å infisere over én million WordPress-nettsteder. Det antas at den ondsinnede operasjonen har vært aktiv siden minst 2017. Nettkriminelle bruker en lang rekke forskjellige teknikker for å utnytte kjente og nyoppdagede sårbarheter i WordPress-temaer og plugins, slik at de kan få tilgang til de målrettede nettstedene.

Rapporten som beskriver Balada Injector, utgitt av sikkerhetsselskapet Sucuri, sier at nye angrepsbølger finner sted annenhver uke. Det er flere signaturtegn på denne ondsinnede aktiviteten, inkludert bruken av String.fromCharCode-obfuscing, distribusjon av dårlige skript på nylig registrerte domenenavn og omdirigeringer til ulike svindelsider. De infiserte nettstedene brukes til en rekke uredelige formål, inkludert falsk teknisk støtte, lotterisvindel og useriøse CAPTCHA-sider som oppfordrer brukere til å slå på varsler for å bekrefte at de ikke er roboter, og dermed gjøre det mulig for angriperne å sende spam-annonser.

Balada-injektoren utnytter en rekke sikkerhetssvakheter

I løpet av tiden den har blitt distribuert, har Balada Injector-trusselen ty til å bruke mer enn 100 domener og ulike metoder for å utnytte velkjente sikkerhetssvakheter, som HTML-injeksjon og nettstedsadresse. Angripernes primære mål har vært å få tilgang til databaselegitimasjonen som er lagret i filen wp-config.php.

Videre er angrepene designet for å få tilgang til og laste ned viktige nettstedsfiler som sikkerhetskopier, databasedumper, loggfiler og feilfiler. De søker også etter eventuelle gjenværende verktøy som adminer og phpmyadmin som nettstedsadministratorer kan ha lagt igjen etter å ha utført vedlikeholdsoppgaver. Dette gir angriperne et bredere spekter av alternativer for å kompromittere nettstedet og stjele sensitive data.

Balada-injektoren gir bakdørstilgang til nettkriminelle

Balada Injector malware har evnen til å generere uredelige WordPress-administratorbrukere, samle inn data som er lagret i de underliggende vertene, og forlate bakdører som gir vedvarende tilgang til systemet.

Dessuten utfører Balada Injector omfattende søk i toppnivåkatalogene i det kompromitterte nettstedets filsystem for å identifisere skrivbare kataloger som tilhører andre nettsteder. Vanligvis eies disse nettstedene av samme nettredaktør og deler samme serverkonto og filtillatelser. Dermed kan kompromittering av ett nettsted potensielt gi tilgang til flere andre nettsteder, noe som utvider angrepet ytterligere.

Hvis disse metodene mislykkes, gjettes administratorpassordet med kraft via et sett med 74 forhåndsbestemte legitimasjon. For å forhindre denne typen angrep oppfordres WordPress-brukere på det sterkeste til å holde nettstedprogramvaren oppdatert, fjerne eventuelle ubrukte plugins og temaer og bruke sterke passord for WordPress-administratorkontoene sine.