หัวฉีดบาลาด้า

จากข้อมูลของนักวิจัยด้านความปลอดภัย แคมเปญการโจมตีอย่างต่อเนื่องที่ส่งมัลแวร์ซึ่งติดตามว่า Balada Injector สามารถแพร่ระบาดไปยังเว็บไซต์ WordPress กว่าหนึ่งล้านแห่ง เชื่อกันว่าการดำเนินการที่เป็นอันตรายนั้นเริ่มทำงานมาอย่างน้อยตั้งแต่ปี 2017 อาชญากรไซเบอร์ใช้เทคนิคที่หลากหลายเพื่อใช้ประโยชน์จากช่องโหว่ที่รู้จักและเพิ่งค้นพบในธีมและปลั๊กอิน WordPress ทำให้พวกเขาสามารถเข้าถึงเว็บไซต์เป้าหมายได้

รายงานรายละเอียด Balada Injector ซึ่งเผยแพร่โดยบริษัทรักษาความปลอดภัย Sucuri ระบุว่าการโจมตีระลอกใหม่จะเกิดขึ้นทุกๆ 2-3 สัปดาห์ มีสัญญาณลายเซ็นหลายอย่างของกิจกรรมที่เป็นอันตรายนี้ รวมถึงการใช้ String.fromCharCode ทำให้ยุ่งเหยิง การปรับใช้สคริปต์ที่ไม่ดีในชื่อโดเมนที่จดทะเบียนใหม่ และการเปลี่ยนเส้นทางไปยังไซต์หลอกลวงต่างๆ เว็บไซต์ที่ติดไวรัสถูกใช้เพื่อวัตถุประสงค์ในการฉ้อโกงต่างๆ รวมถึงการสนับสนุนด้านเทคนิคปลอม การฉ้อโกงล็อตเตอรี่ และหน้า CAPTCHA อันหลอกลวงที่กระตุ้นให้ผู้ใช้เปิดการแจ้งเตือนเพื่อตรวจสอบว่าพวกเขาไม่ใช่หุ่นยนต์ ทำให้ผู้โจมตีสามารถส่งโฆษณาสแปมได้

Balada Injector ใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยจำนวนมาก

ในช่วงเวลาที่มีการปรับใช้ ภัยคุกคาม Balada Injector ได้ใช้โดเมนมากกว่า 100 โดเมนและวิธีการต่างๆ เพื่อใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยที่รู้จักกันดี เช่น การแทรก HTML และ URL ของไซต์ เป้าหมายหลักของผู้โจมตีคือการเข้าถึงข้อมูลรับรองฐานข้อมูลที่จัดเก็บไว้ในไฟล์ wp-config.php

นอกจากนี้ การโจมตียังออกแบบมาเพื่อเข้าถึงและดาวน์โหลดไฟล์สำคัญของไซต์ เช่น การสำรองข้อมูล การดัมพ์ฐานข้อมูล ไฟล์บันทึก และไฟล์ข้อผิดพลาด พวกเขายังค้นหาเครื่องมือที่เหลือเช่น adminer และ phpmyadmin ที่ผู้ดูแลไซต์อาจทิ้งไว้หลังจากดำเนินการบำรุงรักษา สิ่งนี้ทำให้ผู้โจมตีมีตัวเลือกที่หลากหลายมากขึ้นในการประนีประนอมเว็บไซต์และขโมยข้อมูลที่ละเอียดอ่อน

Balada Injector ช่วยให้อาชญากรไซเบอร์เข้าถึงแบ็คดอร์ได้

มัลแวร์ Balada Injector มีความสามารถในการสร้างผู้ใช้ที่เป็นผู้ดูแลระบบ WordPress ที่ฉ้อฉล รวบรวมข้อมูลที่จัดเก็บไว้ในโฮสต์พื้นฐาน และปล่อยให้แบ็คดอร์เข้าถึงระบบได้อย่างต่อเนื่อง

นอกจากนี้ Balada Injector ยังทำการค้นหาอย่างละเอียดในไดเร็กทอรีระดับบนสุดของระบบไฟล์ของเว็บไซต์ที่ถูกบุกรุก เพื่อระบุไดเร็กทอรีที่สามารถเขียนได้ซึ่งเป็นของไซต์อื่น โดยทั่วไปแล้ว ไซต์เหล่านี้เป็นเจ้าของโดยผู้ดูแลเว็บคนเดียวกัน และใช้บัญชีเซิร์ฟเวอร์และสิทธิ์ในไฟล์ร่วมกัน ดังนั้น การประนีประนอมเว็บไซต์หนึ่งอาจทำให้สามารถเข้าถึงเว็บไซต์อื่น ๆ ได้หลายเว็บไซต์ ซึ่งจะขยายการโจมตีให้กว้างขึ้น

หากวิธีการเหล่านี้ล้มเหลว รหัสผ่านของผู้ดูแลระบบจะถูกคาดเดาอย่างเข้มงวดผ่านชุดข้อมูลรับรองที่กำหนดไว้ล่วงหน้า 74 รายการ เพื่อป้องกันการโจมตีประเภทนี้ ขอแนะนำให้ผู้ใช้ WordPress อัปเดตซอฟต์แวร์เว็บไซต์อยู่เสมอ ลบปลั๊กอินและธีมที่ไม่ได้ใช้ และใช้รหัสผ่านที่รัดกุมสำหรับบัญชีผู้ดูแลระบบ WordPress ของตน