Balada Injector

Ayon sa mga mananaliksik ng seguridad, isang patuloy na kampanya sa pag-atake na naghahatid ng malware na sinusubaybayan habang ang Balada Injector ay pinamamahalaang makahawa sa mahigit isang milyong mga website ng WordPress. Ito ay pinaniniwalaan na ang malisyosong operasyon ay naging aktibo mula noong hindi bababa sa 2017. Gumagamit ang mga cybercriminal ng malawak na hanay ng iba't ibang mga diskarte upang pagsamantalahan ang mga kilala at bagong natuklasang mga kahinaan sa mga tema at plugin ng WordPress, na nagpapahintulot sa kanila na makakuha ng access sa mga naka-target na website.

Ang ulat na nagdedetalye sa Balada Injector, na inilabas ng kumpanya ng seguridad na Sucuri, ay nagsasaad na ang mga bagong attack wave ay nagaganap bawat dalawang linggo. Mayroong ilang mga signature sign ng partikular na nakakahamak na aktibidad na ito, kabilang ang paggamit ng String.fromCharCode obfuscation, ang pag-deploy ng mga masasamang script sa mga bagong rehistradong domain name, at pag-redirect sa iba't ibang scam site. Ang mga nahawaang website ay ginagamit para sa iba't ibang mapanlinlang na layunin, kabilang ang pekeng tech na suporta, mga panloloko sa lottery, at rogue na mga pahina ng CAPTCHA na humihimok sa mga user na i-on ang mga notification upang i-verify na hindi sila mga robot, kaya binibigyang-daan ang mga umaatake na magpadala ng mga spam ad.

Sinasamantala ng Balada Injector ang Maraming Kahinaan sa Seguridad

Sa panahong ito ay nai-deploy, ang pagbabanta ng Balada Injector ay gumamit ng higit sa 100 mga domain at iba't ibang paraan upang pagsamantalahan ang mga kilalang kahinaan sa seguridad, tulad ng HTML injection at Site URL. Ang pangunahing layunin ng mga umaatake ay makakuha ng access sa mga kredensyal ng database na nakaimbak sa wp-config.php file.

Higit pa rito, ang mga pag-atake ay idinisenyo upang ma-access at mag-download ng mahahalagang file ng site tulad ng mga backup, database dump, log file, at error file. Naghahanap din sila ng anumang mga natitirang tool tulad ng adminer at phpmyadmin na maaaring naiwan ng mga administrator ng site pagkatapos magsagawa ng mga gawain sa pagpapanatili. Nagbibigay ito sa mga umaatake ng mas malawak na hanay ng mga opsyon para ikompromiso ang website at magnakaw ng sensitibong data.

Ang Balada Injector ay Nagbibigay ng Backdoor Access sa mga Cybercriminals

Ang malware ng Balada Injector ay may kakayahang bumuo ng mga mapanlinlang na gumagamit ng admin ng WordPress, mangolekta ng data na nakaimbak sa pinagbabatayan na mga host, at umalis sa mga backdoor na nagbibigay ng patuloy na pag-access sa system.

Bukod dito, ang Balada Injector ay nagsasagawa ng malawak na paghahanap sa mga nangungunang antas na direktoryo ng file system ng nakompromisong website upang matukoy ang mga naisusulat na direktoryo na kabilang sa ibang mga site. Karaniwan, ang mga site na ito ay pagmamay-ari ng parehong webmaster at nagbabahagi ng parehong server account at mga pahintulot sa file. Kaya, ang pag-kompromiso sa isang site ay maaaring magbigay ng access sa marami pang ibang mga site, na higit pang nagpapalawak sa pag-atake.

Kung nabigo ang mga pamamaraang ito, pilit na hinuhulaan ang password ng admin sa pamamagitan ng isang set ng 74 na paunang natukoy na mga kredensyal. Upang maiwasan ang mga ganitong uri ng pag-atake, mahigpit na hinihikayat ang mga gumagamit ng WordPress na panatilihing na-update ang software ng kanilang website, alisin ang anumang hindi nagamit na mga plugin at tema, at gumamit ng malalakas na password para sa kanilang mga WordPress admin account.