Търсене
Close this search box.

Над 1 милион сайта на WordPress са заразени с Balada Injector

Смята се, че от 2017 г. насам над един милион уебсайта на WordPress са били заразени от продължаваща кампания за разпространение на зловреден софтуер, наречен Balada Injector.

Мащабната кампания, според Sucuri на GoDaddy, „използва всички известни и наскоро открити уязвимости на теми и плъгини“, за да пробие WordPress сайтове. Известно е, че атаките се разиграват на вълни веднъж на всеки няколко седмици.

„Тази кампания лесно се идентифицира по предпочитанието към String.fromCharCode обфускация, използването на прясно регистрирани имена на домейни, хостващи злонамерени скриптове на случайни поддомейни, и по пренасочванията към различни измамни сайтове“, заяви изследователят по сигурността Денис Синегубко.

Уебсайтовете включват фалшива техническа поддръжка, измамни лотарийни печалби и измамни CAPTCHA страници, които призовават потребителите да включат известия „Моля, разрешете, за да потвърдите, че не сте робот“, като по този начин позволяват на извършителите да изпращат спам реклами.

Докладът се основава на неотдавнашни констатации на Doctor Web, в които се описва семейство зловреден софтуер за Linux, което използва недостатъци в повече от две дузини плъгини и теми, за да компрометира уязвими сайтове на WordPress.

В междинните години Balada Injector е разчитал на над 100 домейна и множество методи, за да се възползва от известни пропуски в сигурността (например HTML инжекция и Site URL), като нападателите са се опитвали да получат предимно данни за базата данни във файла wp-config.php.

Освен това атаките са разработени така, че да четат или изтеглят произволни файлове на сайта – включително резервни копия, сваляния на бази данни, файлове с логове и грешки – както и да търсят инструменти като adminer и phpmyadmin, които биха могли да бъдат оставени от администраторите на сайта при завършване на задачите по поддръжка.

В крайна сметка зловредният софтуер позволява генерирането на фалшиви потребители на WordPress администратори, събиране на данни, съхранявани в основните хостове, и оставяне на задни вратички за постоянен достъп.

Balada Injector освен това извършва широкообхватни търсения от директориите от най-високо ниво, свързани с файловата система на компрометирания уебсайт, за да открие директории с възможност за запис, които принадлежат на други сайтове.

„Най-често тези сайтове принадлежат на уебмастъра на компрометирания сайт и всички те споделят един и същ сървърен акаунт и едни и същи файлови разрешения“, казва Синегубко. „По този начин компрометирането само на един сайт може потенциално да предостави достъп до няколко други сайта „безплатно“.“

Ако тези пътища за атака се окажат недостъпни, паролата на администратора се изтръгва с помощта на набор от 74 предварително определени идентификационни данни. Ето защо на потребителите на WordPress се препоръчва да поддържат софтуера на своите уебсайтове в актуално състояние, да премахват неизползваните плъгини и теми и да използват силни пароли за администратора на WordPress.

Констатациите идват седмици след като Palo Alto Networks Unit 42 разкри подобна злонамерена кампания за инжектиране на JavaScript, която пренасочва посетителите на сайта към рекламен софтуер и измамни страници. От 2022 г. насам са засегнати повече от 51 000 уебсайта.

Дейността, която също използва String.fromCharCode като техника за замаскиране, води жертвите до страници с капани, които ги подмамват да разрешат push известия, като се маскират като фалшива CAPTCHA проверка, за да сервират измамно съдържание.

„Инжектираният зловреден JS код беше включен в началната страница на повече от половината от откритите уебсайтове“, казват изследователите от Unit 42. „Една от общите тактики, използвани от операторите на кампанията, беше да инжектират зловреден JS код в често използвани имена на JS файлове (напр. jQuery), които вероятно са включени в началните страници на компрометираните уебсайтове.“

„Това потенциално помага на нападателите да се насочат към легитимните потребители на уебсайта, тъй като е по-вероятно те да посетят началната страница на уебсайта.“

 

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
26/01/2024

Citrix открива 2 уязвимости...

Тези уязвимости са втората и третата...
04/01/2024

Кибератаки са насочени към ...

Миналата седмица група хакери се насочи...
28/12/2023

EasyPark разкрива нарушение...

Разработчикът на приложения за паркиране EasyPark...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!