Балада Ињецтор

Према истраживачима безбедности, текућа кампања напада која испоручује злонамерни софтвер праћен као Балада Ињецтор успела је да зарази преко милион ВордПресс веб локација. Верује се да је злонамерна операција активна најмање од 2017. Сајбер криминалци користе широк спектар различитих техника да искористе познате и новооткривене пропусте у ВордПресс темама и додацима, омогућавајући им да добију приступ циљаним веб локацијама.

Извештај са детаљима о Балада ињектору, који је објавила безбедносна компанија Суцури, наводи да се нови таласи напада дешавају сваких неколико недеља. Постоји неколико знакова потписивања ове конкретне злонамерне активности, укључујући коришћење прикривања Стринг.фромЦхарЦоде, постављање лоших скрипти на новорегистрована имена домена и преусмеравања на различите сајтове за превару. Заражене веб странице се користе у разне лажне сврхе, укључујући лажну техничку подршку, лутријске преваре и лажне ЦАПТЦХА странице које подстичу кориснике да укључе обавештења како би потврдили да нису роботи, што омогућава нападачима да шаљу нежељене огласе.

Балада ињектор користи бројне безбедносне слабости

Током времена када је била постављена, претња Балада Ињецтор је прибегла коришћењу више од 100 домена и различитих метода да би искористила добро познате безбедносне слабости, као што су ХТМЛ ињекција и УРЛ сајта. Примарни циљ нападача је био да добију приступ акредитивима базе података ускладиштеним у датотеци вп-цонфиг.пхп.

Штавише, напади су дизајнирани да приступе и преузимају важне датотеке сајта као што су резервне копије, депоније базе података, датотеке евиденције и датотеке грешака. Они такође траже све преостале алатке као што су администратор и пхпмиадмин које су администратори сајта можда оставили након обављања задатака одржавања. Ово нападачима пружа шири спектар опција за компромитовање веб локације и крађу осетљивих података.

Балада Ињецтор омогућава приступ са скривених врата сајбер криминалцима

Малвер Балада Ињецтор има могућност да генерише лажне кориснике ВордПресс администратора, прикупља податке ускладиштене у основним хостовима и оставља позадинска врата која обезбеђују упоран приступ систему.

Штавише, Балада Ињецтор врши опсежне претраге у директоријумима највишег нивоа система датотека компромитоване веб локације како би идентификовао директоријуме за писање који припадају другим сајтовима. Обично су ови сајтови у власништву истог вебмастера и деле исти налог сервера и дозволе за фајлове. Дакле, компромитовање једне локације потенцијално може да обезбеди приступ више других локација, додатно проширујући напад.

Ако ове методе не успеју, администраторска лозинка се насилно погађа преко скупа од 74 унапред одређена акредитива. Да би спречили ове врсте напада, корисницима ВордПресс-а се снажно препоручује да ажурирају софтвер своје веб локације, уклоне све некоришћене додатке и теме и користе јаке лозинке за своје ВордПресс администраторске налоге.