Balada Injector zielt auf Websites ab, die WordPress verwenden

Laut Sucuri von GoDaddy hat eine massive Kampagne namens Balada Injector seit 2017 mehr als eine Million WordPress-Websites mit Malware infiziert. Die Angreifer verwenden verschiedene Methoden und Schwachstellen, um WordPress-Websites zu knacken, einschließlich Themen- und Plugin-Schwachstellen. Die Angriffe erfolgen alle paar Wochen in Wellen und sind leicht durch die Verwendung von String.fromCharCode-Verschleierung, Domänennamen, die bösartige Skripte hosten, und Weiterleitungen auf betrügerische Websites zu identifizieren.

Die Malware wurde entwickelt, um gefälschte WordPress-Admin-Benutzer zu generieren, auf den Hosts gespeicherte Daten zu sammeln und Hintertüren für dauerhaften Zugriff zu hinterlassen. Die Angreifer suchen auch nach beschreibbaren Verzeichnissen, die zu anderen Websites gehören, die mit dem Dateisystem der kompromittierten Website verbunden sind. Die Angriffe umfassen gefälschten technischen Support, betrügerische Lotteriegewinne und betrügerische CAPTCHA-Seiten, die Benutzer auffordern, Benachrichtigungen zu aktivieren, um zu bestätigen, dass sie keine Roboter sind, wodurch die Angreifer Spam-Anzeigen senden können.

Balada Injector hat sich auf über 100 Domains und verschiedene Methoden wie HTML-Injektion und Site-URL verlassen, um bekannte Sicherheitslücken auszunutzen. Die Angreifer zielen hauptsächlich darauf ab, Datenbankanmeldeinformationen zu erhalten, die in der Datei wp-config.php gespeichert sind. Die Malware kann beliebige Site-Dateien lesen oder herunterladen, einschließlich Backups, Datenbank-Dumps, Protokoll- und Fehlerdateien, und nach Tools wie adminer und phpmyadmin suchen, die von Site-Administratoren zurückgelassen wurden.

Kürzlich entdeckte die Palo Alto Networks Unit 42 eine ähnliche böswillige JavaScript-Injection-Kampagne, die Besucher auf Adware und irreführende Seiten umleitet. Seit 2022 sind über 50.000 Websites betroffen.

Wie können Hacker legitime Seiten durch Code-Injektion kompromittieren?

Hacker können legitime Seiten durch Code-Injektion kompromittieren, indem sie Schwachstellen im Code oder in der Software ausnutzen, die zum Erstellen der Website verwendet werden. Es gibt verschiedene Arten von Code-Injection-Angriffen, z. B. SQL-Injection, Cross-Site Scripting (XSS) und Remote File Inclusion (RFI).

Bei der SQL-Injection wird schädlicher SQL-Code in die Datenbankabfrage einer Website eingefügt, wodurch ein Angreifer die Authentifizierung umgehen, vertrauliche Informationen abrufen oder die Datenbank ändern kann.

XSS ist eine Art Injection-Angriff, der auf Benutzer abzielt, die eine Website besuchen, und nicht auf die Website selbst. Angreifer fügen bösartige Skripte in Webseiten ein, die von Benutzern angezeigt werden, und ermöglichen ihnen, Sitzungscookies zu stehlen, Benutzer auf Phishing-Websites umzuleiten oder Anmeldeinformationen zu stehlen.

Bei RFI wird bösartiger Code in eine Webseite eingeschleust, indem eine Schwachstelle im Dateieinschlussmechanismus einer Webanwendung ausgenutzt wird. Dadurch kann der Angreifer Remote-Code auf dem Server ausführen, was zur vollständigen Kontrolle des Webservers und zur Preisgabe vertraulicher Informationen führen kann.

Hacker können auch Code-Injection verwenden, um bösartigen Code in legitime Websites einzufügen, der zur Verbreitung von Malware oder Phishing-Versuchen führen kann. Um Code-Injection-Angriffe zu verhindern, ist es wichtig, Webanwendungen und Plugins auf dem neuesten Stand zu halten, Benutzereingaben zu validieren und sichere Codierungspraktiken zu verwenden.