Balada-injector

Volgens beveiligingsonderzoekers is een doorlopende aanvalscampagne die malware levert, gevolgd terwijl de Balada Injector erin geslaagd is om meer dan een miljoen WordPress-websites te infecteren. Aangenomen wordt dat de kwaadaardige operatie al sinds minstens 2017 actief is. De cybercriminelen gebruiken een breed scala aan verschillende technieken om bekende en nieuw ontdekte kwetsbaarheden in WordPress-thema's en plug-ins uit te buiten, waardoor ze toegang kunnen krijgen tot de beoogde websites.

In het rapport over de Balada Injector, uitgebracht door het beveiligingsbedrijf Sucuri, staat dat er om de paar weken nieuwe aanvalsgolven plaatsvinden. Er zijn verschillende kenmerkende tekenen van deze specifieke kwaadaardige activiteit, waaronder het gebruik van String.fromCharCode-verduistering, de inzet van slechte scripts op nieuw geregistreerde domeinnamen en omleidingen naar verschillende zwendelsites. De geïnfecteerde websites worden gebruikt voor verschillende frauduleuze doeleinden, waaronder valse technische ondersteuning, loterijfraude en malafide CAPTCHA-pagina's die gebruikers aansporen om meldingen in te schakelen om te verifiëren dat ze geen robots zijn, waardoor de aanvallers spamadvertenties kunnen verzenden.

De Balada-injector maakt gebruik van tal van zwakke punten in de beveiliging

Gedurende de tijd dat het is ingezet, heeft de Balada Injector-dreiging zijn toevlucht genomen tot het gebruik van meer dan 100 domeinen en verschillende methoden om bekende beveiligingsproblemen te misbruiken, zoals HTML-injectie en Site-URL. Het primaire doel van de aanvallers was om toegang te krijgen tot de databasereferenties die zijn opgeslagen in het bestand wp-config.php.

Bovendien zijn de aanvallen ontworpen om toegang te krijgen tot belangrijke sitebestanden, zoals back-ups, databasedumps, logbestanden en foutbestanden, en deze te downloaden. Ze zoeken ook naar overgebleven tools zoals adminer en phpmyadmin die sitebeheerders mogelijk hebben achtergelaten na het uitvoeren van onderhoudstaken. Dit biedt de aanvallers een breder scala aan opties om de website te compromitteren en gevoelige gegevens te stelen.

De Balada Injector biedt via een achterdeur toegang tot de cybercriminelen

De Balada Injector-malware heeft de mogelijkheid om frauduleuze WordPress-beheerders te genereren, gegevens te verzamelen die zijn opgeslagen op de onderliggende hosts en achterdeurtjes achter te laten die permanente toegang tot het systeem bieden.

Bovendien voert Balada Injector uitgebreide zoekopdrachten uit in de mappen op het hoogste niveau van het bestandssysteem van de gecompromitteerde website om beschrijfbare mappen van andere sites te identificeren. Meestal zijn deze sites eigendom van dezelfde webmaster en delen ze dezelfde serveraccount en bestandsmachtigingen. Het compromitteren van één site kan dus mogelijk toegang geven tot meerdere andere sites, waardoor de aanval verder wordt uitgebreid.

Als deze methoden mislukken, wordt het beheerderswachtwoord geforceerd geraden via een set van 74 vooraf bepaalde inloggegevens. Om dit soort aanvallen te voorkomen, worden WordPress-gebruikers sterk aangemoedigd om hun websitesoftware up-to-date te houden, ongebruikte plug-ins en thema's te verwijderen en sterke wachtwoorden te gebruiken voor hun WordPress-beheerdersaccounts.