Injector Balada

Potrivit cercetătorilor de securitate, o campanie de atac în curs de desfășurare care livrează malware urmărit ca injectorul Balada a reușit să infecteze peste un milion de site-uri WordPress. Se crede că operațiunea rău intenționată a fost activă cel puțin din 2017. Infractorii cibernetici folosesc o gamă largă de tehnici diferite pentru a exploata vulnerabilitățile cunoscute și recent descoperite în temele și pluginurile WordPress, permițându-le să obțină acces la site-urile web vizate.

Raportul care detaliază injectorul Balada, lansat de compania de securitate Sucuri, afirmă că noi valuri de atac au loc la fiecare două săptămâni. Există mai multe semne de semnătură ale acestei activități rău intenționate, inclusiv utilizarea înfundarii String.fromCharCode, implementarea de scripturi proaste pe nume de domenii nou înregistrate și redirecționări către diverse site-uri înșelătorii. Site-urile web infectate sunt folosite pentru o varietate de scopuri frauduloase, inclusiv asistență tehnologică falsă, fraude la loterie și pagini CAPTCHA necinstite care îndeamnă utilizatorii să activeze notificările pentru a verifica dacă nu sunt roboți, permițând astfel atacatorilor să trimită reclame spam.

Injectorul Balada exploatează numeroase puncte slabe de securitate

În perioada în care a fost implementată, amenințarea Balada Injector a recurs la utilizarea a peste 100 de domenii și diferite metode pentru a exploata deficiențe de securitate binecunoscute, cum ar fi injecția HTML și URL-ul site-ului. Scopul principal al atacatorilor a fost să obțină acces la datele de conectare ale bazei de date stocate în fișierul wp-config.php.

Mai mult, atacurile sunt concepute pentru a accesa și descărca fișiere importante ale site-ului, cum ar fi copii de rezervă, depozite de baze de date, fișiere jurnal și fișiere de eroare. Ei caută, de asemenea, orice instrumente rămase, cum ar fi adminer și phpmyadmin, pe care administratorii site-ului le-au lăsat în urmă după ce au efectuat sarcini de întreținere. Acest lucru oferă atacatorilor o gamă mai largă de opțiuni pentru a compromite site-ul web și a fura date sensibile.

Injectorul Balada oferă acces din spate infractorilor cibernetici

Malware-ul Balada Injector are capacitatea de a genera utilizatori admin WordPress fraudulenți, de a colecta date stocate în gazdele subiacente și de a lăsa uși din spate care oferă acces persistent la sistem.

Mai mult, Balada Injector efectuează căutări extinse în directoarele de nivel superior ale sistemului de fișiere al site-ului web compromis pentru a identifica directoarele care pot fi scrise aparținând altor site-uri. De obicei, aceste site-uri sunt deținute de același webmaster și au același cont de server și permisiuni pentru fișiere. Astfel, compromiterea unui site poate oferi acces la mai multe alte site-uri, extinzând și mai mult atacul.

Dacă aceste metode eșuează, parola de administrator este ghicită cu forță printr-un set de 74 de acreditări predeterminate. Pentru a preveni aceste tipuri de atacuri, utilizatorii WordPress sunt încurajați să își mențină actualizat software-ul site-ului web, să elimine orice plugin și teme neutilizate și să folosească parole puternice pentru conturile lor de administrator WordPress.