Balada Injector

Σύμφωνα με ερευνητές ασφαλείας, μια συνεχιζόμενη εκστρατεία επίθεσης που παρέχει κακόβουλο λογισμικό που παρακολουθείται καθώς το Balada Injector κατάφερε να μολύνει πάνω από ένα εκατομμύριο ιστότοπους WordPress. Πιστεύεται ότι η κακόβουλη λειτουργία είναι ενεργή τουλάχιστον από το 2017. Οι κυβερνοεγκληματίες χρησιμοποιούν ένα ευρύ φάσμα διαφορετικών τεχνικών για να εκμεταλλευτούν γνωστές και πρόσφατα ανακαλυφθείσες ευπάθειες σε θέματα και προσθήκες WordPress, επιτρέποντάς τους να αποκτήσουν πρόσβαση στους στοχευμένους ιστότοπους.

Η αναφορά που περιγράφει λεπτομερώς το Balada Injector, που κυκλοφόρησε από την εταιρεία ασφαλείας Sucuri, αναφέρει ότι νέα κύματα επίθεσης λαμβάνουν χώρα κάθε δύο εβδομάδες. Υπάρχουν πολλά σημάδια υπογραφής αυτής της συγκεκριμένης κακόβουλης δραστηριότητας, συμπεριλαμβανομένης της χρήσης της συσκότισης String.fromCharCode, της ανάπτυξης κακών σεναρίων σε πρόσφατα καταχωρημένα ονόματα τομέα και ανακατευθύνσεων σε διάφορους ιστότοπους απάτης. Οι μολυσμένοι ιστότοποι χρησιμοποιούνται για διάφορους δόλιους σκοπούς, συμπεριλαμβανομένης της ψεύτικης τεχνικής υποστήριξης, των απατών με λαχεία και των αδίστακτων σελίδων CAPTCHA που παροτρύνουν τους χρήστες να ενεργοποιούν τις ειδοποιήσεις για να επαληθεύσουν ότι δεν είναι ρομπότ, επιτρέποντας έτσι στους εισβολείς να στέλνουν διαφημίσεις ανεπιθύμητης αλληλογραφίας.

Το Balada Injector εκμεταλλεύεται πολυάριθμες αδυναμίες ασφάλειας

Κατά τη διάρκεια της ανάπτυξής του, η απειλή Balada Injector έχει καταφύγει στη χρήση περισσότερων από 100 τομέων και διαφόρων μεθόδων για την εκμετάλλευση γνωστών αδυναμιών ασφαλείας, όπως η ένεση HTML και η διεύθυνση URL τοποθεσίας. Ο πρωταρχικός στόχος των εισβολέων ήταν να αποκτήσουν πρόσβαση στα διαπιστευτήρια της βάσης δεδομένων που είναι αποθηκευμένα στο αρχείο wp-config.php.

Επιπλέον, οι επιθέσεις έχουν σχεδιαστεί για πρόσβαση και λήψη σημαντικών αρχείων ιστότοπου, όπως αντίγραφα ασφαλείας, αποτυπώματα βάσεων δεδομένων, αρχεία καταγραφής και αρχεία σφαλμάτων. Επίσης, αναζητούν τυχόν εργαλεία που έχουν απομείνει, όπως το adminer και το phpmyadmin, που μπορεί να έχουν αφήσει πίσω οι διαχειριστές του ιστότοπου μετά την εκτέλεση εργασιών συντήρησης. Αυτό παρέχει στους εισβολείς ένα ευρύτερο φάσμα επιλογών για να παραβιάσουν τον ιστότοπο και να κλέψουν ευαίσθητα δεδομένα.

Το Balada Injector Παρέχει πρόσβαση σε κερκόπορτα στους κυβερνοεγκληματίες

Το κακόβουλο λογισμικό Balada Injector έχει τη δυνατότητα να δημιουργεί δόλιες χρήστες διαχειριστή WordPress, να συλλέγει δεδομένα που είναι αποθηκευμένα στους υποκείμενους κεντρικούς υπολογιστές και να αφήνει κερκόπορτες που παρέχουν μόνιμη πρόσβαση στο σύστημα.

Επιπλέον, το Balada Injector εκτελεί εκτενείς αναζητήσεις στους καταλόγους ανώτατου επιπέδου του συστήματος αρχείων του παραβιασμένου ιστότοπου για να εντοπίσει εγγράψιμους καταλόγους που ανήκουν σε άλλους ιστότοπους. Συνήθως, αυτοί οι ιστότοποι ανήκουν στον ίδιο webmaster και μοιράζονται τον ίδιο λογαριασμό διακομιστή και δικαιώματα αρχείων. Έτσι, η παραβίαση ενός ιστότοπου μπορεί ενδεχομένως να παρέχει πρόσβαση σε πολλούς άλλους ιστότοπους, επεκτείνοντας περαιτέρω την επίθεση.

Εάν αυτές οι μέθοδοι αποτύχουν, ο κωδικός πρόσβασης διαχειριστή μαντεύεται αναγκαστικά μέσω ενός συνόλου 74 προκαθορισμένων διαπιστευτηρίων. Για να αποτρέψουν αυτούς τους τύπους επιθέσεων, οι χρήστες του WordPress ενθαρρύνονται να διατηρούν ενημερωμένο το λογισμικό του ιστότοπού τους, να αφαιρούν τυχόν προσθήκες και θέματα που δεν χρησιμοποιούνται και να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης για τους λογαριασμούς διαχειριστή του WordPress.