Balada Injector målretter mod websteder ved hjælp af WordPress

Ifølge GoDaddy's Sucuri har en massiv kampagne ved navn Balada Injector inficeret mere end en million WordPress-websteder med malware siden 2017. Angriberne bruger forskellige metoder og sårbarheder til at bryde WordPress-websteder, herunder tema- og plugin-sårbarheder. Angrebene forekommer i bølger med få ugers mellemrum og er let genkendelige ved deres brug af String.fromCharCode-obfuscation, domænenavne, der hoster ondsindede scripts, og omdirigeringer til svindelsider.

Malwaren er designet til at generere falske WordPress-administratorbrugere, høste data, der er gemt på værterne, og efterlade bagdøre for vedvarende adgang. Angriberne søger også efter skrivbare mapper, der tilhører andre websteder, der er forbundet med det kompromitterede websteds filsystem. Angrebene inkluderer falsk teknisk support, svigagtige lotteri-gevinster og useriøse CAPTCHA-sider, der beder brugerne om at slå meddelelser til for at bekræfte, at de ikke er robotter, hvilket gør det muligt for angriberne at sende spam-reklamer.

Balada Injector har påberåbt sig over 100 domæner og forskellige metoder, såsom HTML-injektion og websteds-URL, til at udnytte kendte sikkerhedsfejl. Angriberne sigter hovedsageligt på at få databaselegitimationsoplysninger gemt i filen wp-config.php. Malwaren kan læse eller downloade vilkårlige webstedsfiler, herunder sikkerhedskopier, databasedumps, log- og fejlfiler og søge efter værktøjer såsom adminer og phpmyadmin, der er efterladt af webstedsadministratorer.

For nylig opdagede Palo Alto Networks Unit 42 en lignende ondsindet JavaScript-indsprøjtningskampagne, der omdirigerer besøgende til adware og vildledende sider. Over 50.000 websteder er blevet berørt siden 2022.

Hvordan kan hackere kompromittere legitime sider ved hjælp af kodeinjektion?

Hackere kan kompromittere legitime sider ved hjælp af kodeinjektion ved at udnytte sårbarheder i koden eller softwaren, der bruges til at bygge hjemmesiden. Der er flere typer af kodeinjektionsangreb, såsom SQL-injektion, Cross-Site Scripting (XSS) og Remote File Inclusion (RFI).

SQL-injektion involverer indsættelse af ondsindet SQL-kode i et websteds databaseforespørgsel, hvilket kan tillade en angriber at omgå godkendelse, hente følsomme oplysninger eller ændre databasen.

XSS er en type injektionsangreb, der retter sig mod brugere, der besøger et websted, snarere end selve webstedet. Angribere injicerer ondsindede scripts på websider, der ses af brugere, hvilket giver dem mulighed for at stjæle sessionscookies, omdirigere brugere til phishing-websteder eller stjæle loginoplysninger.

RFI involverer indsprøjtning af ondsindet kode på en webside ved at udnytte en sårbarhed i en webapplikations fil-inkluderingsmekanisme. Dette giver angriberen mulighed for at udføre fjernkode på serveren, hvilket kan føre til fuldstændig kontrol over webserveren, og følsom information bliver afsløret.

Hackere kan også bruge kodeinjektion til at indsætte ondsindet kode på legitime websteder, der kan føre til spredning af malware eller phishing-forsøg. For at forhindre kodeinjektionsangreb er det vigtigt at holde webapplikationer og plugins opdaterede, validere brugerinput og bruge sikker kodningspraksis.