Balada Enjektör

Güvenlik araştırmacılarına göre, Balada Injector bir milyondan fazla WordPress web sitesine bulaşmayı başardığında izlenen kötü amaçlı yazılımları dağıtan devam eden bir saldırı kampanyası. Kötü niyetli operasyonun en az 2017'den beri aktif olduğuna inanılıyor. Siber suçlular, WordPress temalarında ve eklentilerinde bilinen ve yeni keşfedilen güvenlik açıklarından yararlanmak için çok çeşitli teknikler kullanıyor ve hedeflenen web sitelerine erişim elde etmelerine olanak tanıyor.

Güvenlik şirketi Sucuri tarafından yayınlanan Balada Enjektörü detaylandıran rapor, birkaç haftada bir yeni saldırı dalgalarının meydana geldiğini belirtiyor. String.fromCharCode gizleme kullanımı, yeni kaydedilen alan adlarında kötü komut dosyalarının konuşlandırılması ve çeşitli dolandırıcılık sitelerine yönlendirmeler dahil olmak üzere, bu özel kötü amaçlı etkinliğin birkaç imza işareti vardır. Virüslü web siteleri, sahte teknik destek, piyango dolandırıcılığı ve kullanıcıları robot olmadıklarını doğrulamak için bildirimleri açmaya teşvik eden ve böylece saldırganların spam reklamlar göndermesine olanak tanıyan hileli CAPTCHA sayfaları dahil olmak üzere çeşitli dolandırıcılık amaçları için kullanılır.

Balada Enjektörü Çok Sayıda Güvenlik Zayıflığından Yararlanıyor

Balada Injector tehdidi, konuşlandırıldığı süre boyunca HTML enjeksiyonu ve Site URL'si gibi iyi bilinen güvenlik zayıflıklarından yararlanmak için 100'den fazla etki alanı ve çeşitli yöntemler kullanmaya başvurdu. Saldırganların birincil hedefi, wp-config.php dosyasında depolanan veritabanı kimlik bilgilerine erişim elde etmek olmuştur.

Ayrıca saldırılar, yedeklemeler, veritabanı dökümleri, günlük dosyaları ve hata dosyaları gibi önemli site dosyalarına erişmek ve indirmek için tasarlanmıştır. Ayrıca, site yöneticilerinin bakım görevlerini gerçekleştirdikten sonra geride bırakmış olabilecekleri adminer ve phpmyadmin gibi artık araçları da ararlar. Bu, saldırganlara web sitesini tehlikeye atmak ve hassas verileri çalmak için daha geniş bir seçenek yelpazesi sunar.

Balada Enjektörü, Siber Suçlulara Arka Kapı Erişimi Sağlıyor

Balada Injector kötü amaçlı yazılımı, sahte WordPress yönetici kullanıcıları oluşturma, temeldeki ana bilgisayarlarda depolanan verileri toplama ve sisteme kalıcı erişim sağlayan arka kapılar bırakma yeteneğine sahiptir.

Ayrıca Balada Injector, diğer sitelere ait yazılabilir dizinleri belirlemek için güvenliği ihlal edilmiş web sitesinin dosya sisteminin üst düzey dizinlerinde kapsamlı aramalar gerçekleştirir. Tipik olarak, bu sitelerin sahibi aynı web yöneticisidir ve aynı sunucu hesabını ve dosya izinlerini paylaşır. Bu nedenle, bir sitenin güvenliğini ihlal etmek, potansiyel olarak birden çok başka siteye erişim sağlayarak saldırıyı daha da genişletebilir.

Bu yöntemler başarısız olursa, yönetici parolası önceden belirlenmiş 74 kimlik bilgisi aracılığıyla zorla tahmin edilir. Bu tür saldırıları önlemek için, WordPress kullanıcılarının web sitesi yazılımlarını güncel tutmaları, kullanılmayan eklentileri ve temaları kaldırmaları ve WordPress yönetici hesapları için güçlü parolalar kullanmaları şiddetle tavsiye edilir.