Смята се, че от 2017 г. насам над един милион уебсайта на WordPress са били заразени от продължаваща кампания за разпространение на зловреден софтуер, наречен Balada Injector.

Мащабната кампания, според Sucuri на GoDaddy, „използва всички известни и наскоро открити уязвимости на теми и плъгини“, за да пробие WordPress сайтове. Известно е, че атаките се разиграват на вълни веднъж на всеки няколко седмици.

„Тази кампания лесно се идентифицира по предпочитанието към String.fromCharCode обфускация, използването на прясно регистрирани имена на домейни, хостващи злонамерени скриптове на случайни поддомейни, и по пренасочванията към различни измамни сайтове“, заяви изследователят по сигурността Денис Синегубко.

Уебсайтовете включват фалшива техническа поддръжка, измамни лотарийни печалби и измамни CAPTCHA страници, които призовават потребителите да включат известия „Моля, разрешете, за да потвърдите, че не сте робот“, като по този начин позволяват на извършителите да изпращат спам реклами.

Докладът се основава на неотдавнашни констатации на Doctor Web, в които се описва семейство зловреден софтуер за Linux, което използва недостатъци в повече от две дузини плъгини и теми, за да компрометира уязвими сайтове на WordPress.

В междинните години Balada Injector е разчитал на над 100 домейна и множество методи, за да се възползва от известни пропуски в сигурността (например HTML инжекция и Site URL), като нападателите са се опитвали да получат предимно данни за базата данни във файла wp-config.php.

Освен това атаките са разработени така, че да четат или изтеглят произволни файлове на сайта – включително резервни копия, сваляния на бази данни, файлове с логове и грешки – както и да търсят инструменти като adminer и phpmyadmin, които биха могли да бъдат оставени от администраторите на сайта при завършване на задачите по поддръжка.

В крайна сметка зловредният софтуер позволява генерирането на фалшиви потребители на WordPress администратори, събиране на данни, съхранявани в основните хостове, и оставяне на задни вратички за постоянен достъп.

Balada Injector освен това извършва широкообхватни търсения от директориите от най-високо ниво, свързани с файловата система на компрометирания уебсайт, за да открие директории с възможност за запис, които принадлежат на други сайтове.

„Най-често тези сайтове принадлежат на уебмастъра на компрометирания сайт и всички те споделят един и същ сървърен акаунт и едни и същи файлови разрешения“, казва Синегубко. „По този начин компрометирането само на един сайт може потенциално да предостави достъп до няколко други сайта „безплатно“.“

Ако тези пътища за атака се окажат недостъпни, паролата на администратора се изтръгва с помощта на набор от 74 предварително определени идентификационни данни. Ето защо на потребителите на WordPress се препоръчва да поддържат софтуера на своите уебсайтове в актуално състояние, да премахват неизползваните плъгини и теми и да използват силни пароли за администратора на WordPress.

Констатациите идват седмици след като Palo Alto Networks Unit 42 разкри подобна злонамерена кампания за инжектиране на JavaScript, която пренасочва посетителите на сайта към рекламен софтуер и измамни страници. От 2022 г. насам са засегнати повече от 51 000 уебсайта.

Дейността, която също използва String.fromCharCode като техника за замаскиране, води жертвите до страници с капани, които ги подмамват да разрешат push известия, като се маскират като фалшива CAPTCHA проверка, за да сервират измамно съдържание.

„Инжектираният зловреден JS код беше включен в началната страница на повече от половината от откритите уебсайтове“, казват изследователите от Unit 42. „Една от общите тактики, използвани от операторите на кампанията, беше да инжектират зловреден JS код в често използвани имена на JS файлове (напр. jQuery), които вероятно са включени в началните страници на компрометираните уебсайтове.“

„Това потенциално помага на нападателите да се насочат към легитимните потребители на уебсайта, тъй като е по-вероятно те да посетят началната страница на уебсайта.“

 

Източник: The Hacker News

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
Бъдете социални
Още по темата
09/02/2025

HPE уведомява за нарушение ...

Hewlett Packard Enterprise (HPE) уведомява служителите,...
20/01/2025

HPE разследва твърдения за ...

HPE започна разследване, след като известен...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!