Tento malvér bol prvýkrát zaznamenaný v roku 2017 a infikoval viac ako milión stránok so systémom WordPress. Tu je to, čo potrebujete vedieť.

WordPressu nie sú kybernetické útoky cudzie a teraz utrpel ďalší exploit, prostredníctvom ktorého bolo infikovaných viac ako milión stránok. Táto škodlivá kampaň sa uskutočnila pomocou druhu malvéru známeho ako Balada Injector. Ako však tento malvér funguje a ako sa mu podarilo infikovať viac ako milión stránok WordPress?

Základy škodlivého softvéru Balada Injector

Balada Injector (prvý raz vytvorený v a Správa Dr. Web) je malvérový program, ktorý sa používa od roku 2017, keď sa začala táto obrovská kampaň proti infekcii WordPress. Balada Injector je backdoor malvér založený na Linuxe, ktorý sa používa na infiltráciu webových stránok.

Backdoor malvér a vírusy môže obísť typické prihlasovacie alebo autentifikačné metódy a umožniť útočníkovi prístup na vývojársku časť webovej stránky. Odtiaľ môže útočník vykonávať neoprávnené zmeny, ukradnúť vzácne údaje a dokonca stránku úplne vypnúť.

instagram viewer

Backdoors využívajú slabé stránky webových stránok na získanie neoprávneného prístupu. Mnoho webových stránok má jednu alebo viac slabých stránok (známych aj ako bezpečnostné zraniteľnosti), takže pre mnohých hackerov nie je ťažké nájsť cestu.

Ako sa teda počítačovým zločincom podarilo kompromitovať viac ako milión stránok WordPress pomocou Balada Injector?

Ako Balada infikovala viac ako milión stránok WordPress?

V apríli 2023 kybernetická bezpečnostná firma Sucuri informovala o škodlivej kampani, ktorú sledovala od roku 2017. V Sucuri blogový príspevokbolo uvedené, že v roku 2023 skener SiteCheck spoločnosti zistil prítomnosť Balada Injector viac ako 140 000-krát. Zistilo sa, že jedna webová stránka bola napadnutá šokujúcim 311-krát s použitím 11 rôznych variácií Balada Injector.

Sucuri tiež uviedol, že má „viac ako 100 podpisov pokrývajúcich front-end aj back-end variácie malvéru vloženého do serverových súborov“. a databázy WordPress." Firma si všimla, že infekcie Balada Injector sa zvyčajne vyskytujú vo vlnách, ktorých frekvencia sa zvyšuje každých niekoľko týždňov.

Na infikovanie toľkých stránok WordPress sa Balada Injector špecificky zameral na zraniteľné miesta v témach a doplnkoch platformy. WordPress ponúka pre svojich používateľov tisíce doplnkov a širokú škálu tém rozhrania, z ktorých niektoré boli v minulosti terčom iných hackerov.

Tu je obzvlášť zaujímavé, že o zraniteľnostiach, na ktoré sa zameriava kampaň Balada, sa už vie. Niektoré z týchto zraniteľností boli potvrdené pred rokmi, zatiaľ čo iné boli objavené len nedávno. Cieľom Balada Injector je zostať prítomný na infikovanom webe dlho po jeho nasadení, aj keď plugin, ktorý využíval, dostane aktualizáciu.

Vo vyššie uvedenom blogovom príspevku Sucuri uviedol niekoľko metód infekcie používaných na nasadenie Balady, vrátane:

  • HTML injekcie.
  • Databázové injekcie.
  • Vloženie webovej adresy URL.
  • Ľubovoľné vkladanie súborov.

Balada Injector navyše používa String.fromCharCode ako zmätok, takže pre výskumníkov v oblasti kybernetickej bezpečnosti je ťažšie ho odhaliť a zachytiť akékoľvek vzory v rámci techniky útoku.

Hackeri infikujú stránky WordPress programom Balada, aby presmerovali používateľov na podvodné stránky, ako sú falošné lotérie, podvody s upozorneniami a falošné platformy technických správ. Balada môže tiež exfiltrovať cenné informácie z infikovaných databáz stránok.

Ako sa vyhnúť útokom na injektor Balada

Existuje niekoľko postupov, ktoré môžete použiť, aby ste sa vyhli Balada Injector, ako napríklad:

  • Pravidelná aktualizácia softvéru webových stránok (vrátane tém a doplnkov).
  • Vykonávanie pravidelného čistenia softvéru.
  • Aktivuje sa dvojfaktorové overenie.
  • Použitím silné heslá.
  • Obmedzenie povolení správcu lokality.
  • Implementácia systémov kontroly integrity súborov.
  • Udržiavanie súborov lokálneho vývojového prostredia oddelené od súborov servera.
  • Zmena hesiel databázy po akomkoľvek kompromise.

Takéto kroky vám môžu pomôcť ochrániť váš web WordPress pred Baladou. Sucuri má tiež a Sprievodca čistením WordPress ktoré môžete použiť na to, aby vaše stránky neobsahovali škodlivý softvér.

Injektor Balada je stále voľný

V čase písania tohto článku je Balada Injector stále k dispozícii a infikuje webové stránky. Kým sa tento malvér úplne nezastaví, naďalej predstavuje riziko pre používateľov WordPress. Aj keď je šokujúce počuť, koľko stránok je už infikovaných, našťastie nie ste úplne bezmocní voči zraniteľnostiam typu backdoor a malvéru, ako je Balada, ktorý tieto nedostatky využíva.