Търсене
Close this search box.

Над 17 000 сайта на WordPress са компрометирани от Balada Injector

През месец септември 2023 г. повече от 17 000 уебсайта на WordPress са били компрометирани със зловреден софтуер, известен като Balada Injector, което е почти два пъти повече от откритията през август.

Твърди се, че 9000 от тези уебсайтове са проникнати, като е използван наскоро разкрит недостатък в сигурността на плъгина tagDiv Composer (CVE-2023-3169, CVSS оценка: 6.1), който може да бъде използван от неавтентифицирани потребители за извършване на съхранени крос-сайт скриптови атаки (XSS).

„Това не е първият път, в който бандата Balada Injector се насочва към уязвимости в премиум темите на tagDiv“, заяви Денис Синегубко, изследовател по сигурността в Sucuri.

„Едно от най-ранните масирани инжектирания на зловреден софтуер, което бихме могли да припишем на тази кампания, се състоя през лятото на 2017 г., когато активно се злоупотребяваше с разкрити грешки в сигурността на темите Newspaper и Newsmag за WordPress.“

Balada Injector е широкомащабна операция, открита за първи път от Doctor Web през декември 2022 г., при която хакерите използват различни грешки в плъгините на WordPress, за да разположат Linux backdoor на податливи системи.

Основната цел на имплантатора е да насочва потребителите на компрометираните сайтове към фалшиви страници за техническа поддръжка, измамни лотарийни печалби и измами с push известия. От 2017 г. насам кампанията е засегнала повече от един милион уебсайта.

Атаките, включващи Balada Injector, се разиграват под формата на повтарящи се вълни на активност, които се появяват на всеки няколко седмици, като след началото на вълната през уикенда във вторник се открива рязко увеличение на инфекциите.

Последният набор от пробиви включва използването на CVE-2023-3169 за инжектиране на злонамерен скрипт и в крайна сметка установяване на постоянен достъп над сайтовете чрез качване на задни врати, добавяне на злонамерени плъгини и създаване на измамни администратори на блогове.

В миналото тези скриптове са били насочени към влезлите в WordPress сайтове администратори, тъй като позволяват на противника да извършва злонамерени действия с повишени привилегии чрез интерфейса на администратора, включително да създава нови потребители на администратора, които може да използва за последващи атаки.

Бързо развиващото се естество на скриптовете се доказва от способността им да залагат задна врата в страниците за грешки 404 на уебсайтовете, които са в състояние да изпълняват произволен PHP код, или пък да използват код, вграден в страниците, за да инсталират злонамерен плъгин wp-zexit по автоматизиран начин.

Sucuri описва това като „един от най-сложните видове атаки“, извършвани от скрипта, като се има предвид, че той имитира целия процес на инсталиране на приставка от ZIP архивен файл и нейното активиране.

Основната функционалност на плъгина е същата като тази на задната врата, а именно да изпълнява PHP код, изпратен от разстояние от участниците в заплахата.

По-новите вълни от атаки, наблюдавани в края на септември 2023 г., включват използването на произволни инжекции на код за изтегляне и стартиране на второстепенен зловреден софтуер от отдалечен сървър за инсталиране на приставката wp-zexit.

Използват се и замаскирани скриптове, които предават бисквитките на посетителя на контролиран от извършителя URL адрес и извличат в замяна неуточнен JavaScript код.

„Разполагането им във файловете на компрометираните сайтове ясно показва, че този път вместо да използват уязвимостта tagDiv Composer, нападателите са използвали своите задни врати и злонамерени потребители на администратори, които са били подхвърлени след успешни атаки срещу администратори на уебсайтове“, обяснява Синегубко.

Източник: The Hacker News

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появи отново с н...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
Бъдете социални
Още по темата
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

300 000 души са засегнати о...

Avis Car Rental уведомява близо 300...
09/09/2024

CISA сигнализира за грешки ...

Миналата седмица американската Агенция за киберсигурност...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!