Balada injektori

Tietoturvatutkijoiden mukaan käynnissä oleva hyökkäyskampanja, joka toimittaa Balada Injectoriksi jäljitettyjä haittaohjelmia, on onnistunut saastuttamaan yli miljoona WordPress-verkkosivustoa. Haitallisen toiminnan uskotaan olleen aktiivinen ainakin vuodesta 2017 lähtien. Kyberrikolliset käyttävät laajaa valikoimaa erilaisia tekniikoita hyödyntääkseen tunnettuja ja äskettäin löydettyjä haavoittuvuuksia WordPress-teemoissa ja -laajennuksissa, jolloin he voivat päästä kohdesivustoille.

Turvayhtiö Sucurin julkaisemassa Balada Injectoria kuvaavassa raportissa todetaan, että uusia hyökkäysaaltoja tapahtuu parin viikon välein. Tästä haitallisesta toiminnasta on useita tunnusmerkkejä, mukaan lukien String.fromCharCode-hämärtäminen, virheellisten komentosarjojen käyttö äskettäin rekisteröityihin verkkotunnuksiin ja uudelleenohjaukset useille huijaussivustoille. Tartunnan saaneita verkkosivustoja käytetään moniin vilpillisiin tarkoituksiin, mukaan lukien väärennetyt tekniset tuet, lottopetokset ja vilpilliset CAPTCHA-sivut, jotka kehottavat käyttäjiä ottamaan käyttöön ilmoitukset varmistaakseen, etteivät he ole robotteja, jolloin hyökkääjät voivat lähettää roskapostimainoksia.

Balada Injector hyödyntää lukuisia tietoturvaheikkouksia

Käyttöönoton aikana Balada Injector -uhka on turvautunut yli 100 verkkotunnuksen ja eri menetelmien hyödyntämiseen tunnettujen suojausheikkouksien, kuten HTML-injektion ja sivuston URL-osoitteen, hyödyntämiseksi. Hyökkääjien ensisijaisena tavoitteena on ollut päästä käsiksi wp-config.php-tiedostoon tallennettuihin tietokannan tunnistetietoihin.

Lisäksi hyökkäykset on suunniteltu käyttämään ja lataamaan tärkeitä sivustotiedostoja, kuten varmuuskopioita, tietokantavedoksia, lokitiedostoja ja virhetiedostoja. He etsivät myös ylimääräisiä työkaluja, kuten adminer ja phpmyadmin, jotka sivuston järjestelmänvalvojat ovat saattaneet jättää jälkeensä ylläpitotehtävien suorittamisen jälkeen. Tämä tarjoaa hyökkääjille laajemman valikoiman vaihtoehtoja murtautua verkkosivustolle ja varastaa arkaluonteisia tietoja.

Balada Injector tarjoaa takaoven pääsyn kyberrikollisiin

Balada Injector -haittaohjelma pystyy luomaan vilpillisiä WordPress-järjestelmänvalvojakäyttäjiä, keräämään taustalla oleviin isänteihin tallennettuja tietoja ja jättämään takaovia, jotka tarjoavat jatkuvan pääsyn järjestelmään.

Lisäksi Balada Injector suorittaa laajoja hakuja vaarantuneen verkkosivuston tiedostojärjestelmän ylätason hakemistoista tunnistaakseen muille sivustoille kuuluvat kirjoitettavat hakemistot. Yleensä nämä sivustot omistaa sama verkkovastaava, ja niillä on samat palvelintilit ja tiedostooikeudet. Siten yhden sivuston vaarantaminen voi tarjota pääsyn useille muille sivustoille, mikä laajentaa hyökkäystä entisestään.

Jos nämä menetelmät epäonnistuvat, järjestelmänvalvojan salasana arvataan väkisin 74 ennalta määrätyn valtuustiedon avulla. Tämäntyyppisten hyökkäysten estämiseksi WordPress-käyttäjiä kehotetaan pitämään verkkosivustonsa ohjelmistot ajan tasalla, poistamaan käyttämättömät laajennukset ja teemat sekä käyttämään vahvoja salasanoja WordPress-järjestelmänvalvojatileilleen.