Wtryskiwacz Balady

Według badaczy bezpieczeństwa trwająca kampania ataków dostarczająca złośliwe oprogramowanie śledzone jako Balada Injector zdołała zainfekować ponad milion witryn WordPress. Uważa się, że szkodliwa operacja jest aktywna od co najmniej 2017 roku. Cyberprzestępcy wykorzystują szeroką gamę różnych technik w celu wykorzystania znanych i nowo odkrytych luk w zabezpieczeniach motywów i wtyczek WordPress, umożliwiając im uzyskanie dostępu do docelowych stron internetowych.

Raport szczegółowo opisujący Balada Injector, opublikowany przez firmę ochroniarską Sucuri, stwierdza, że nowe fale ataków mają miejsce co kilka tygodni. Istnieje kilka charakterystycznych oznak tej konkretnej złośliwej aktywności, w tym użycie zaciemniania String.fromCharCode, wdrażanie złych skryptów na nowo zarejestrowanych nazwach domen i przekierowania do różnych oszukańczych stron. Zainfekowane strony internetowe są wykorzystywane do różnych oszukańczych celów, w tym fałszywego wsparcia technicznego, oszustw loteryjnych i nieuczciwych stron CAPTCHA, które nakłaniają użytkowników do włączenia powiadomień w celu sprawdzenia, czy nie są robotami, umożliwiając w ten sposób atakującym wysyłanie reklam spamowych.

Wtryskiwacz Balada wykorzystuje liczne luki w zabezpieczeniach

W czasie, gdy zostało wdrożone, zagrożenie Balada Injector uciekało się do wykorzystywania ponad 100 domen i różnych metod w celu wykorzystania dobrze znanych słabych punktów bezpieczeństwa, takich jak wstrzykiwanie kodu HTML i adres URL witryny. Głównym celem atakujących było uzyskanie dostępu do poświadczeń bazy danych przechowywanych w pliku wp-config.php.

Ponadto ataki mają na celu uzyskanie dostępu do ważnych plików witryny, takich jak kopie zapasowe, zrzuty baz danych, pliki dziennika i pliki błędów, oraz pobieranie ich. Wyszukują również wszelkie pozostałe narzędzia, takie jak adminer i phpmyadmin, które administratorzy witryny mogli pozostawić po wykonaniu zadań konserwacyjnych. Daje to atakującym szerszy zakres opcji włamania się do witryny i kradzieży poufnych danych.

Wtryskiwacz Balada zapewnia cyberprzestępcom dostęp tylnymi drzwiami

Złośliwe oprogramowanie Balada Injector ma zdolność generowania fałszywych administratorów WordPress, zbierania danych przechowywanych na bazowych hostach i pozostawiania backdoorów, które zapewniają stały dostęp do systemu.

Ponadto Balada Injector przeprowadza szeroko zakrojone przeszukiwanie katalogów najwyższego poziomu systemu plików zaatakowanej witryny w celu zidentyfikowania zapisywalnych katalogów należących do innych witryn. Zazwyczaj te witryny należą do tego samego webmastera i mają to samo konto na serwerze oraz uprawnienia do plików. W związku z tym naruszenie bezpieczeństwa jednej witryny może potencjalnie zapewnić dostęp do wielu innych witryn, co jeszcze bardziej rozszerzy zakres ataku.

Jeśli te metody zawiodą, hasło administratora zostanie odgadnięte na siłę za pomocą zestawu 74 z góry określonych danych uwierzytelniających. Aby zapobiec tego typu atakom, użytkownicy WordPress są zachęcani do aktualizowania oprogramowania swojej witryny, usuwania nieużywanych wtyczek i motywów oraz używania silnych haseł do kont administratora WordPress.