Смята се, че от 2017 г. насам над един милион уебсайта на WordPress са били заразени от продължаваща кампания за разпространение на зловреден софтуер, наречен Balada Injector.

Мащабната кампания, според Sucuri на GoDaddy, „използва всички известни и наскоро открити уязвимости на теми и плъгини“, за да пробие WordPress сайтове. Известно е, че атаките се разиграват на вълни веднъж на всеки няколко седмици.

„Тази кампания лесно се идентифицира по предпочитанието към String.fromCharCode обфускация, използването на прясно регистрирани имена на домейни, хостващи злонамерени скриптове на случайни поддомейни, и по пренасочванията към различни измамни сайтове“, заяви изследователят по сигурността Денис Синегубко.

Уебсайтовете включват фалшива техническа поддръжка, измамни лотарийни печалби и измамни CAPTCHA страници, които призовават потребителите да включат известия „Моля, разрешете, за да потвърдите, че не сте робот“, като по този начин позволяват на извършителите да изпращат спам реклами.

Докладът се основава на неотдавнашни констатации на Doctor Web, в които се описва семейство зловреден софтуер за Linux, което използва недостатъци в повече от две дузини плъгини и теми, за да компрометира уязвими сайтове на WordPress.

В междинните години Balada Injector е разчитал на над 100 домейна и множество методи, за да се възползва от известни пропуски в сигурността (например HTML инжекция и Site URL), като нападателите са се опитвали да получат предимно данни за базата данни във файла wp-config.php.

Освен това атаките са разработени така, че да четат или изтеглят произволни файлове на сайта – включително резервни копия, сваляния на бази данни, файлове с логове и грешки – както и да търсят инструменти като adminer и phpmyadmin, които биха могли да бъдат оставени от администраторите на сайта при завършване на задачите по поддръжка.

В крайна сметка зловредният софтуер позволява генерирането на фалшиви потребители на WordPress администратори, събиране на данни, съхранявани в основните хостове, и оставяне на задни вратички за постоянен достъп.

Balada Injector освен това извършва широкообхватни търсения от директориите от най-високо ниво, свързани с файловата система на компрометирания уебсайт, за да открие директории с възможност за запис, които принадлежат на други сайтове.

„Най-често тези сайтове принадлежат на уебмастъра на компрометирания сайт и всички те споделят един и същ сървърен акаунт и едни и същи файлови разрешения“, казва Синегубко. „По този начин компрометирането само на един сайт може потенциално да предостави достъп до няколко други сайта „безплатно“.“

Ако тези пътища за атака се окажат недостъпни, паролата на администратора се изтръгва с помощта на набор от 74 предварително определени идентификационни данни. Ето защо на потребителите на WordPress се препоръчва да поддържат софтуера на своите уебсайтове в актуално състояние, да премахват неизползваните плъгини и теми и да използват силни пароли за администратора на WordPress.

Констатациите идват седмици след като Palo Alto Networks Unit 42 разкри подобна злонамерена кампания за инжектиране на JavaScript, която пренасочва посетителите на сайта към рекламен софтуер и измамни страници. От 2022 г. насам са засегнати повече от 51 000 уебсайта.

Дейността, която също използва String.fromCharCode като техника за замаскиране, води жертвите до страници с капани, които ги подмамват да разрешат push известия, като се маскират като фалшива CAPTCHA проверка, за да сервират измамно съдържание.

„Инжектираният зловреден JS код беше включен в началната страница на повече от половината от откритите уебсайтове“, казват изследователите от Unit 42. „Една от общите тактики, използвани от операторите на кампанията, беше да инжектират зловреден JS код в често използвани имена на JS файлове (напр. jQuery), които вероятно са включени в началните страници на компрометираните уебсайтове.“

„Това потенциално помага на нападателите да се насочат към легитимните потребители на уебсайта, тъй като е по-вероятно те да посетят началната страница на уебсайта.“

 

Източник: The Hacker News

Подобни публикации

15 юли 2025

Критични уязвимости в над 240 модела дънни плат...

Изследователи по фърмуерна сигурност алармираха, че десетки модели ...
15 юли 2025

Американски дипломати предупредени за ИИ фалшиф...

Държавният департамент на САЩ предупреди всички американски посолст...

Ще останат ли смартфоните в миналото?

С разширяването на възможностите на изкуствения интелект и стремежа...
14 юли 2025

Злонамерено разширение за Cursor AI IDE доведе ...

Фалшиво разширение за средата за разработка Cursor AI IDE, базирана...
14 юли 2025

Актуализация за Windows 10 нарушава функцията з...

След инсталиране на юлската актуализация KB5062554 за Windows 10, п...
14 юли 2025

Google Gemini податлив на скрити фишинг атаки ч...

Изследване, представено чрез програмата за уязвимости 0din на Mozil...

Защо традиционният HAZOP не е достатъчен

HAZOP (Hazard and Operability Study) е утвърден метод за идентифици...
Бъдете социални
Още по темата
10/07/2025

Bitcoin Depot разкри пробив...

Операторът на биткойн банкомати Bitcoin Depot...
23/06/2025

Oxford City Council съобщав...

Oxford City Council потвърди пробив в...
19/06/2025

Над 5 милиона души засегнат...

Episource, американска компания за здравни технологии...
Последно добавени
15/07/2025

Критични уязвимости в над 2...

Изследователи по фърмуерна сигурност алармираха, че...
15/07/2025

Американски дипломати преду...

Държавният департамент на САЩ предупреди всички...
15/07/2025

Ще останат ли смартфоните в...

С разширяването на възможностите на изкуствения...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!