Балада Инжектор

По словам исследователей в области безопасности, продолжающаяся кампания по распространению вредоносных программ, отслеживаемых как Balada Injector, смогла заразить более миллиона веб-сайтов WordPress. Считается, что вредоносная операция была активна как минимум с 2017 года. Киберпреступники используют широкий спектр различных методов для эксплуатации известных и недавно обнаруженных уязвимостей в темах и плагинах WordPress, что позволяет им получить доступ к целевым веб-сайтам.

В отчете о Balada Injector, опубликованном охранной компанией Sucuri, говорится, что новые волны атак происходят каждые пару недель. Существует несколько характерных признаков этой конкретной вредоносной деятельности, в том числе использование обфускации String.fromCharCode, развертывание плохих скриптов на вновь зарегистрированных доменных именах и перенаправления на различные мошеннические сайты. Зараженные веб-сайты используются для различных мошеннических целей, включая поддельную техническую поддержку, мошенничество с лотереями и мошеннические страницы CAPTCHA, которые призывают пользователей включать уведомления, чтобы убедиться, что они не роботы, что позволяет злоумышленникам рассылать спам-рекламу.

Balada Injector использует многочисленные уязвимости в системе безопасности

За время своего развертывания угроза Balada Injector прибегла к использованию более 100 доменов и различных методов для использования известных уязвимостей безопасности, таких как внедрение HTML и URL-адрес сайта. Основная цель злоумышленников — получить доступ к учетным данным базы данных, хранящимся в файле wp-config.php.

Кроме того, атаки предназначены для доступа и загрузки важных файлов сайта, таких как резервные копии, дампы баз данных, файлы журналов и файлы ошибок. Они также ищут любые оставшиеся инструменты, такие как adminer и phpmyadmin, которые администраторы сайта могли оставить после выполнения задач обслуживания. Это предоставляет злоумышленникам более широкий спектр возможностей для взлома веб-сайта и кражи конфиденциальных данных.

Balada Injector обеспечивает киберпреступникам бэкдор

Вредоносная программа Balada Injector способна генерировать мошеннических пользователей-администраторов WordPress, собирать данные, хранящиеся на базовых хостах, и оставлять бэкдоры, обеспечивающие постоянный доступ к системе.

Кроме того, Balada Injector выполняет обширный поиск в каталогах верхнего уровня файловой системы скомпрометированного веб-сайта, чтобы идентифицировать доступные для записи каталоги, принадлежащие другим сайтам. Как правило, эти сайты принадлежат одному и тому же веб-мастеру и используют одну и ту же учетную запись сервера и права доступа к файлам. Таким образом, компрометация одного сайта потенциально может открыть доступ к нескольким другим сайтам, что еще больше расширит возможности атаки.

Если эти методы не работают, пароль администратора принудительно угадывается с помощью набора из 74 заранее определенных учетных данных. Чтобы предотвратить атаки такого типа, пользователям WordPress настоятельно рекомендуется обновлять программное обеспечение своего веб-сайта, удалять все неиспользуемые плагины и темы и использовать надежные пароли для своих учетных записей администратора WordPress.