Injektor Balada

Sipas studiuesve të sigurisë, një fushatë e vazhdueshme sulmi që ofron malware, e gjurmuar pasi Balada Injector ka arritur të infektojë mbi një milion faqe në internet të WordPress. Besohet se operacioni keqdashës ka qenë aktiv të paktën që nga viti 2017. Kriminelët kibernetikë përdorin një gamë të gjerë teknikash të ndryshme për të shfrytëzuar dobësitë e njohura dhe të zbuluara rishtazi në temat dhe shtojcat e WordPress, duke i lejuar ata të kenë akses në faqet e synuara të internetit.

Raporti që detajon Balada Injector, i lëshuar nga kompania e sigurisë Sucuri, thotë se valë të reja sulmi ndodhin çdo dy javë. Ka disa shenja nënshkrimi të këtij aktiviteti të veçantë me qëllim të keq, duke përfshirë përdorimin e turbullimit të String.fromCharCode, vendosjen e skripteve të këqija në emrat e domain të regjistruar rishtazi dhe ridrejtimet në sajte të ndryshme mashtrimi. Uebsajtet e infektuara përdoren për një sërë qëllimesh mashtruese, duke përfshirë mbështetjen e rreme teknologjike, mashtrimet e lotarisë dhe faqet mashtruese CAPTCHA që i nxisin përdoruesit të aktivizojnë njoftimet për të verifikuar që nuk janë robotë, duke u mundësuar kështu sulmuesve të dërgojnë reklama të padëshiruara.

Injektori Balada shfrytëzon dobësi të shumta të sigurisë

Gjatë kohës që është vendosur, kërcënimi i Balada Injector ka përdorur më shumë se 100 domene dhe metoda të ndryshme për të shfrytëzuar dobësitë e njohura të sigurisë, si injeksioni HTML dhe URL e faqes. Qëllimi kryesor i sulmuesve ka qenë të fitojnë akses në kredencialet e bazës së të dhënave të ruajtura në skedarin wp-config.php.

Për më tepër, sulmet janë të dizajnuara për të hyrë dhe shkarkuar skedarë të rëndësishëm të faqes, të tilla si kopjet rezervë, depozitat e bazës së të dhënave, skedarët e regjistrave dhe skedarët e gabimeve. Ata gjithashtu kërkojnë për çdo mjet të mbetur si adminer dhe phpmyadmin që administratorët e faqes mund të kenë lënë pas pas kryerjes së detyrave të mirëmbajtjes. Kjo u siguron sulmuesve një gamë më të gjerë opsionesh për të komprometuar faqen e internetit dhe për të vjedhur të dhëna të ndjeshme.

Injektori Balada ofron qasje në prapavijë për kriminelët kibernetikë

Malware-i Balada Injector ka aftësinë të gjenerojë përdorues mashtrues të administratorit të WordPress, të mbledhë të dhëna të ruajtura në hostet bazë dhe të lërë dyer të pasme që ofrojnë qasje të vazhdueshme në sistem.

Për më tepër, Balada Injector kryen kërkime të gjera në drejtoritë e nivelit të lartë të sistemit të skedarëve të faqes së internetit të komprometuar për të identifikuar drejtoritë e shkrueshme që u përkasin sajteve të tjera. Në mënyrë tipike, këto sajte janë në pronësi të të njëjtit webmaster dhe ndajnë të njëjtën llogari të serverit dhe lejet e skedarëve. Kështu, komprometimi i një faqeje mund të sigurojë akses në shumë site të tjera, duke e zgjeruar më tej sulmin.

Nëse këto metoda dështojnë, fjalëkalimi i administratorit merret me forcë përmes një grupi 74 kredencialesh të paracaktuara. Për të parandaluar këto lloj sulmesh, përdoruesit e WordPress inkurajohen fuqimisht të mbajnë të përditësuar softuerin e faqes së tyre të internetit, të heqin çdo shtojcë dhe temë të papërdorur dhe të përdorin fjalëkalime të forta për llogaritë e tyre të administratorit të WordPress.