To złośliwe oprogramowanie zostało po raz pierwszy zauważone w 2017 roku i zainfekowało ponad milion witryn z systemem WordPress. Oto, co musisz wiedzieć.
WordPress nie jest obcy cyberatakom, a teraz doświadczył kolejnego exploita, za pomocą którego zainfekowanych zostało ponad milion witryn. Ta złośliwa kampania miała miejsce przy użyciu złośliwego oprogramowania znanego jako Balada Injector. Ale jak działa to złośliwe oprogramowanie i jak udało mu się zainfekować ponad milion witryn WordPress?
Podstawy złośliwego oprogramowania Balada Injector
Balada Injector (pierwszy ukuty taki w Raport dr Weba) to szkodliwy program, który jest używany od 2017 roku, kiedy rozpoczęła się ta wielka kampania infekcji WordPress. Balada Injector to złośliwe oprogramowanie typu backdoor oparte na systemie Linux, które służy do infiltracji stron internetowych.
Złośliwe oprogramowanie typu backdoor i wirusy może ominąć typowe metody logowania lub uwierzytelniania, umożliwiając atakującemu dostęp do strony programisty. Stąd atakujący może dokonywać nieautoryzowanych zmian, kraść cenne dane, a nawet całkowicie zamknąć witrynę.
Backdoory wykorzystują słabości stron internetowych w celu uzyskania nieautoryzowanego dostępu. Wiele witryn internetowych ma jedną lub więcej słabości (znanych również jako luki w zabezpieczeniach), więc wielu hakerów nie ma trudności ze znalezieniem sposobu.
Jak więc cyberprzestępcom udało się włamać na ponad milion witryn WordPress za pomocą Balada Injector?
Jak Balada zainfekował ponad milion witryn WordPress?
W kwietniu 2023 r. firma Sucuri zajmująca się cyberbezpieczeństwem zgłosiła złośliwą kampanię, którą śledziła od 2017 r. w Wpis na blogu Sucuristwierdzono, że w 2023 roku firmowy skaner SiteCheck wykrył obecność Balada Injector ponad 140 000 razy. Stwierdzono, że jedna strona internetowa została zaatakowana szokująco 311 razy przy użyciu 11 różnych odmian Balada Injector.
Sucuri stwierdził również, że ma „ponad 100 sygnatur obejmujących zarówno front-end, jak i back-end warianty złośliwego oprogramowania wstrzykniętego do plików serwera i WordPress.
Aby zainfekować tak wiele witryn WordPress, Balada Injector specjalnie celował w luki w motywach i wtyczkach platformy. WordPress oferuje swoim użytkownikom tysiące wtyczek oraz szeroką gamę motywów interfejsu, z których niektóre były w przeszłości celem ataków innych hakerów.
Szczególnie interesujące jest to, że luki będące celem kampanii Balada są już znane. Niektóre z tych luk zostały odkryte lata temu, podczas gdy inne odkryto dopiero niedawno. Celem Balada Injector jest pozostawanie na zainfekowanej stronie przez długi czas po jej wdrożeniu, nawet jeśli wykorzystywana przez nią wtyczka otrzyma aktualizację.
We wspomnianym poście na blogu Sucuri wymienił szereg metod infekcji wykorzystywanych do wdrożenia Balady, w tym:
- zastrzyki HTML.
- Zastrzyki bazy danych.
- Zastrzyki SiteURL.
- Dowolne wstrzykiwanie plików.
Ponadto Balada Injector wykorzystuje String.fromCharCode jako zaciemnianie, co utrudnia badaczom cyberbezpieczeństwa wykrycie go i wykrycie jakichkolwiek wzorców w technice ataku.
Hakerzy infekują witryny WordPress programem Balada, aby przekierowywać użytkowników na strony oszukańcze, takie jak fałszywe loterie, fałszywe powiadomienia i platformy fałszywych raportów technicznych. Balada może również wydobywać cenne informacje z zainfekowanych baz danych witryn.
Jak uniknąć ataków wtryskiwaczy Balada
Istnieją pewne praktyki, które można zastosować, aby uniknąć Balada Injector, takie jak:
- Regularne aktualizowanie oprogramowania strony internetowej (w tym motywów i wtyczek).
- Regularne czyszczenie oprogramowania.
- Aktywacja uwierzytelnianie dwuskładnikowe.
- Za pomocą silne hasła.
- Ograniczanie uprawnień administratora serwisu.
- Wdrażanie systemów kontroli integralności plików.
- Oddzielanie lokalnych plików środowiska programistycznego od plików serwera.
- Zmiana haseł do bazy danych po każdym kompromitacji.
Podjęcie takich kroków może pomóc w zabezpieczeniu witryny WordPress przed Baladą. Sucuri ma również Przewodnik po czyszczeniu WordPressa których możesz użyć, aby chronić swoją witrynę przed złośliwym oprogramowaniem.
Wtryskiwacz Balada wciąż jest na wolności
W chwili pisania tego tekstu Balada Injector nadal istnieje i infekuje strony internetowe. Dopóki to złośliwe oprogramowanie nie zostanie całkowicie zatrzymane, nadal stanowi zagrożenie dla użytkowników WordPress. Szokujące jest to, jak wiele witryn jest już zainfekowanych, ale na szczęście nie jesteś całkowicie bezradny wobec luk w zabezpieczeniach backdoora i złośliwego oprogramowania, takiego jak Balada, które wykorzystuje te wady.