Balada purkštukas

Saugumo tyrinėtojų teigimu, vykstanti atakų kampanija, kuria buvo pristatoma kenkėjiška programa, sekama kaip „Balada Injector“, sugebėjo užkrėsti daugiau nei vieną milijoną „WordPress“ svetainių. Manoma, kad kenkėjiška operacija buvo aktyvi mažiausiai nuo 2017 m. Kibernetiniai nusikaltėliai naudoja daugybę skirtingų metodų, kad išnaudotų žinomus ir naujai atrastus „WordPress“ temų ir įskiepių pažeidžiamumus, leidžiančius jiems pasiekti tikslines svetaines.

Saugos bendrovės „Sucuri“ paskelbtoje ataskaitoje, kurioje išsamiai aprašomas „Balada Injector“, teigiama, kad kas porą savaičių įvyksta naujos atakos bangos. Yra keletas šios konkrečios kenkėjiškos veiklos požymių, įskaitant String.fromCharCode užtemdymą, netinkamų scenarijų įdiegimą naujai registruotuose domenų pavadinimuose ir nukreipimus į įvairias sukčių svetaines. Užkrėstos svetainės naudojamos įvairiems nesąžiningiems tikslams, įskaitant suklastotą techninę pagalbą, loterijų sukčiavimą ir nesąžiningus CAPTCHA puslapius, kurie ragina vartotojus įjungti pranešimus, kad įsitikintų, jog jie nėra robotai, taip leidžiant užpuolikams siųsti šlamšto skelbimus.

Balada purkštukas išnaudoja daugybę saugumo trūkumų

Per tą laiką, kai buvo įdiegta, Balada Injector grėsmė pasinaudojo daugiau nei 100 domenų ir įvairių metodų, kad išnaudotų gerai žinomas saugumo silpnybes, pvz., HTML injekciją ir svetainės URL. Pagrindinis užpuolikų tikslas buvo gauti prieigą prie duomenų bazės kredencialų, saugomų wp-config.php faile.

Be to, atakos skirtos pasiekti ir atsisiųsti svarbius svetainės failus, pvz., atsargines kopijas, duomenų bazių išklotus, žurnalo failus ir klaidų failus. Jie taip pat ieško bet kokių likusių įrankių, tokių kaip adminer ir phpmyadmin, kuriuos svetainės administratoriai galėjo palikti atlikę priežiūros užduotis. Tai suteikia užpuolikams daugiau galimybių pažeisti svetainę ir pavogti neskelbtinus duomenis.

Balada purkštukas suteikia kibernetiniams nusikaltėliams prieigą prie užpakalinių durų

„Balada Injector“ kenkėjiška programa gali generuoti apgaulingus „WordPress“ administratorius, rinkti duomenis, saugomus pagrindiniuose kompiuteriuose, ir palikti užpakalines duris, kurios suteikia nuolatinę prieigą prie sistemos.

Be to, Balada Injector atlieka išsamias paieškas pažeistos svetainės failų sistemos aukščiausio lygio kataloguose, kad nustatytų kitoms svetainėms priklausančius įrašomus katalogus. Paprastai šios svetainės priklauso tam pačiam žiniatinklio valdytojui ir naudojasi ta pačia serverio paskyra bei failų leidimais. Taigi, pažeidžiant vieną svetainę, gali būti suteikta prieiga prie kelių kitų svetainių, o tai dar labiau išplečia ataką.

Jei šie metodai nepavyksta, administratoriaus slaptažodis yra priverstinai atspėjamas naudojant 74 iš anksto nustatytus kredencialus. Siekiant užkirsti kelią tokio tipo atakoms, „WordPress“ naudotojai primygtinai raginami nuolat atnaujinti savo svetainės programinę įrangą, pašalinti visus nenaudojamus papildinius ir temas bei naudoti stiprius slaptažodžius savo „WordPress“ administratoriaus paskyroms.