Смята се, че от 2017 г. насам над един милион уебсайта на WordPress са били заразени от продължаваща кампания за разпространение на зловреден софтуер, наречен Balada Injector.
Мащабната кампания, според Sucuri на GoDaddy, „използва всички известни и наскоро открити уязвимости на теми и плъгини“, за да пробие WordPress сайтове. Известно е, че атаките се разиграват на вълни веднъж на всеки няколко седмици.
„Тази кампания лесно се идентифицира по предпочитанието към String.fromCharCode обфускация, използването на прясно регистрирани имена на домейни, хостващи злонамерени скриптове на случайни поддомейни, и по пренасочванията към различни измамни сайтове“, заяви изследователят по сигурността Денис Синегубко.
Уебсайтовете включват фалшива техническа поддръжка, измамни лотарийни печалби и измамни CAPTCHA страници, които призовават потребителите да включат известия „Моля, разрешете, за да потвърдите, че не сте робот“, като по този начин позволяват на извършителите да изпращат спам реклами.
Докладът се основава на неотдавнашни констатации на Doctor Web, в които се описва семейство зловреден софтуер за Linux, което използва недостатъци в повече от две дузини плъгини и теми, за да компрометира уязвими сайтове на WordPress.
В междинните години Balada Injector е разчитал на над 100 домейна и множество методи, за да се възползва от известни пропуски в сигурността (например HTML инжекция и Site URL), като нападателите са се опитвали да получат предимно данни за базата данни във файла wp-config.php.
Освен това атаките са разработени така, че да четат или изтеглят произволни файлове на сайта – включително резервни копия, сваляния на бази данни, файлове с логове и грешки – както и да търсят инструменти като adminer и phpmyadmin, които биха могли да бъдат оставени от администраторите на сайта при завършване на задачите по поддръжка.
В крайна сметка зловредният софтуер позволява генерирането на фалшиви потребители на WordPress администратори, събиране на данни, съхранявани в основните хостове, и оставяне на задни вратички за постоянен достъп.
Balada Injector освен това извършва широкообхватни търсения от директориите от най-високо ниво, свързани с файловата система на компрометирания уебсайт, за да открие директории с възможност за запис, които принадлежат на други сайтове.
„Най-често тези сайтове принадлежат на уебмастъра на компрометирания сайт и всички те споделят един и същ сървърен акаунт и едни и същи файлови разрешения“, казва Синегубко. „По този начин компрометирането само на един сайт може потенциално да предостави достъп до няколко други сайта „безплатно“.“
Ако тези пътища за атака се окажат недостъпни, паролата на администратора се изтръгва с помощта на набор от 74 предварително определени идентификационни данни. Ето защо на потребителите на WordPress се препоръчва да поддържат софтуера на своите уебсайтове в актуално състояние, да премахват неизползваните плъгини и теми и да използват силни пароли за администратора на WordPress.
Констатациите идват седмици след като Palo Alto Networks Unit 42 разкри подобна злонамерена кампания за инжектиране на JavaScript, която пренасочва посетителите на сайта към рекламен софтуер и измамни страници. От 2022 г. насам са засегнати повече от 51 000 уебсайта.
Дейността, която също използва String.fromCharCode като техника за замаскиране, води жертвите до страници с капани, които ги подмамват да разрешат push известия, като се маскират като фалшива CAPTCHA проверка, за да сервират измамно съдържание.
„Инжектираният зловреден JS код беше включен в началната страница на повече от половината от откритите уебсайтове“, казват изследователите от Unit 42. „Една от общите тактики, използвани от операторите на кампанията, беше да инжектират зловреден JS код в често използвани имена на JS файлове (напр. jQuery), които вероятно са включени в началните страници на компрометираните уебсайтове.“
„Това потенциално помага на нападателите да се насочат към легитимните потребители на уебсайта, тъй като е по-вероятно те да посетят началната страница на уебсайта.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.