Смята се, че от 2017 г. насам над един милион уебсайта на WordPress са били заразени от продължаваща кампания за разпространение на зловреден софтуер, наречен Balada Injector.

Мащабната кампания, според Sucuri на GoDaddy, „използва всички известни и наскоро открити уязвимости на теми и плъгини“, за да пробие WordPress сайтове. Известно е, че атаките се разиграват на вълни веднъж на всеки няколко седмици.

„Тази кампания лесно се идентифицира по предпочитанието към String.fromCharCode обфускация, използването на прясно регистрирани имена на домейни, хостващи злонамерени скриптове на случайни поддомейни, и по пренасочванията към различни измамни сайтове“, заяви изследователят по сигурността Денис Синегубко.

Уебсайтовете включват фалшива техническа поддръжка, измамни лотарийни печалби и измамни CAPTCHA страници, които призовават потребителите да включат известия „Моля, разрешете, за да потвърдите, че не сте робот“, като по този начин позволяват на извършителите да изпращат спам реклами.

Докладът се основава на неотдавнашни констатации на Doctor Web, в които се описва семейство зловреден софтуер за Linux, което използва недостатъци в повече от две дузини плъгини и теми, за да компрометира уязвими сайтове на WordPress.

В междинните години Balada Injector е разчитал на над 100 домейна и множество методи, за да се възползва от известни пропуски в сигурността (например HTML инжекция и Site URL), като нападателите са се опитвали да получат предимно данни за базата данни във файла wp-config.php.

Освен това атаките са разработени така, че да четат или изтеглят произволни файлове на сайта – включително резервни копия, сваляния на бази данни, файлове с логове и грешки – както и да търсят инструменти като adminer и phpmyadmin, които биха могли да бъдат оставени от администраторите на сайта при завършване на задачите по поддръжка.

В крайна сметка зловредният софтуер позволява генерирането на фалшиви потребители на WordPress администратори, събиране на данни, съхранявани в основните хостове, и оставяне на задни вратички за постоянен достъп.

Balada Injector освен това извършва широкообхватни търсения от директориите от най-високо ниво, свързани с файловата система на компрометирания уебсайт, за да открие директории с възможност за запис, които принадлежат на други сайтове.

„Най-често тези сайтове принадлежат на уебмастъра на компрометирания сайт и всички те споделят един и същ сървърен акаунт и едни и същи файлови разрешения“, казва Синегубко. „По този начин компрометирането само на един сайт може потенциално да предостави достъп до няколко други сайта „безплатно“.“

Ако тези пътища за атака се окажат недостъпни, паролата на администратора се изтръгва с помощта на набор от 74 предварително определени идентификационни данни. Ето защо на потребителите на WordPress се препоръчва да поддържат софтуера на своите уебсайтове в актуално състояние, да премахват неизползваните плъгини и теми и да използват силни пароли за администратора на WordPress.

Констатациите идват седмици след като Palo Alto Networks Unit 42 разкри подобна злонамерена кампания за инжектиране на JavaScript, която пренасочва посетителите на сайта към рекламен софтуер и измамни страници. От 2022 г. насам са засегнати повече от 51 000 уебсайта.

Дейността, която също използва String.fromCharCode като техника за замаскиране, води жертвите до страници с капани, които ги подмамват да разрешат push известия, като се маскират като фалшива CAPTCHA проверка, за да сервират измамно съдържание.

„Инжектираният зловреден JS код беше включен в началната страница на повече от половината от откритите уебсайтове“, казват изследователите от Unit 42. „Една от общите тактики, използвани от операторите на кампанията, беше да инжектират зловреден JS код в често използвани имена на JS файлове (напр. jQuery), които вероятно са включени в началните страници на компрометираните уебсайтове.“

„Това потенциално помага на нападателите да се насочат към легитимните потребители на уебсайта, тъй като е по-вероятно те да посетят началната страница на уебсайта.“