Търсене
Close this search box.

Над 17 000 сайта на WordPress са компрометирани от Balada Injector

През месец септември 2023 г. повече от 17 000 уебсайта на WordPress са били компрометирани със зловреден софтуер, известен като Balada Injector, което е почти два пъти повече от откритията през август.

Твърди се, че 9000 от тези уебсайтове са проникнати, като е използван наскоро разкрит недостатък в сигурността на плъгина tagDiv Composer (CVE-2023-3169, CVSS оценка: 6.1), който може да бъде използван от неавтентифицирани потребители за извършване на съхранени крос-сайт скриптови атаки (XSS).

„Това не е първият път, в който бандата Balada Injector се насочва към уязвимости в премиум темите на tagDiv“, заяви Денис Синегубко, изследовател по сигурността в Sucuri.

„Едно от най-ранните масирани инжектирания на зловреден софтуер, което бихме могли да припишем на тази кампания, се състоя през лятото на 2017 г., когато активно се злоупотребяваше с разкрити грешки в сигурността на темите Newspaper и Newsmag за WordPress.“

Balada Injector е широкомащабна операция, открита за първи път от Doctor Web през декември 2022 г., при която хакерите използват различни грешки в плъгините на WordPress, за да разположат Linux backdoor на податливи системи.

Основната цел на имплантатора е да насочва потребителите на компрометираните сайтове към фалшиви страници за техническа поддръжка, измамни лотарийни печалби и измами с push известия. От 2017 г. насам кампанията е засегнала повече от един милион уебсайта.

Атаките, включващи Balada Injector, се разиграват под формата на повтарящи се вълни на активност, които се появяват на всеки няколко седмици, като след началото на вълната през уикенда във вторник се открива рязко увеличение на инфекциите.

Последният набор от пробиви включва използването на CVE-2023-3169 за инжектиране на злонамерен скрипт и в крайна сметка установяване на постоянен достъп над сайтовете чрез качване на задни врати, добавяне на злонамерени плъгини и създаване на измамни администратори на блогове.

В миналото тези скриптове са били насочени към влезлите в WordPress сайтове администратори, тъй като позволяват на противника да извършва злонамерени действия с повишени привилегии чрез интерфейса на администратора, включително да създава нови потребители на администратора, които може да използва за последващи атаки.

Бързо развиващото се естество на скриптовете се доказва от способността им да залагат задна врата в страниците за грешки 404 на уебсайтовете, които са в състояние да изпълняват произволен PHP код, или пък да използват код, вграден в страниците, за да инсталират злонамерен плъгин wp-zexit по автоматизиран начин.

Sucuri описва това като „един от най-сложните видове атаки“, извършвани от скрипта, като се има предвид, че той имитира целия процес на инсталиране на приставка от ZIP архивен файл и нейното активиране.

Основната функционалност на плъгина е същата като тази на задната врата, а именно да изпълнява PHP код, изпратен от разстояние от участниците в заплахата.

По-новите вълни от атаки, наблюдавани в края на септември 2023 г., включват използването на произволни инжекции на код за изтегляне и стартиране на второстепенен зловреден софтуер от отдалечен сървър за инсталиране на приставката wp-zexit.

Използват се и замаскирани скриптове, които предават бисквитките на посетителя на контролиран от извършителя URL адрес и извличат в замяна неуточнен JavaScript код.

„Разполагането им във файловете на компрометираните сайтове ясно показва, че този път вместо да използват уязвимостта tagDiv Composer, нападателите са използвали своите задни врати и злонамерени потребители на администратори, които са били подхвърлени след успешни атаки срещу администратори на уебсайтове“, обяснява Синегубко.

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
Бъдете социални
Още по темата
18/04/2024

Болница в Кан с 869 легла и...

Болница „Симон Вейл“ в Кан (CHC-SV)...
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!