Το Balada Injector στοχεύει ιστότοπους χρησιμοποιώντας το WordPress
Σύμφωνα με το GoDaddy's Sucuri, μια τεράστια καμπάνια με το όνομα Balada Injector έχει μολύνει περισσότερους από ένα εκατομμύριο ιστότοπους WordPress με κακόβουλο λογισμικό από το 2017. Οι επιτιθέμενοι χρησιμοποιούν διάφορες μεθόδους και ευπάθειες για να παραβιάσουν ιστότοπους WordPress, συμπεριλαμβανομένων ευπαθειών θεμάτων και προσθηκών. Οι επιθέσεις συμβαίνουν κατά κύματα κάθε λίγες εβδομάδες και είναι εύκολα αναγνωρίσιμες από τη χρήση της συσκότισης String.fromCharCode, τα ονόματα τομέα που φιλοξενούν κακόβουλα σενάρια και τις ανακατευθύνσεις σε ιστότοπους απάτης.
Το κακόβουλο λογισμικό έχει σχεδιαστεί για να δημιουργεί ψεύτικους χρήστες διαχειριστή WordPress, να συλλέγει δεδομένα που είναι αποθηκευμένα στους κεντρικούς υπολογιστές και να αφήνει κερκόπορτες για μόνιμη πρόσβαση. Οι εισβολείς αναζητούν επίσης καταλόγους με δυνατότητα εγγραφής που ανήκουν σε άλλους ιστότοπους που σχετίζονται με το σύστημα αρχείων του παραβιασμένου ιστότοπου. Οι επιθέσεις περιλαμβάνουν ψεύτικη τεχνική υποστήριξη, δόλιες νίκες λοταρίας και αδίστακτες σελίδες CAPTCHA που προτρέπουν τους χρήστες να ενεργοποιούν τις ειδοποιήσεις για να επαληθεύσουν ότι δεν είναι ρομπότ, επιτρέποντας στους εισβολείς να στέλνουν διαφημίσεις ανεπιθύμητης αλληλογραφίας.
Το Balada Injector έχει βασιστεί σε πάνω από 100 τομείς και διάφορες μεθόδους, όπως η ένεση HTML και η διεύθυνση URL τοποθεσίας, για να εκμεταλλευτεί γνωστά ελαττώματα ασφαλείας. Οι εισβολείς στοχεύουν κυρίως να αποκτήσουν διαπιστευτήρια βάσης δεδομένων που είναι αποθηκευμένα στο αρχείο wp-config.php. Το κακόβουλο λογισμικό μπορεί να διαβάσει ή να κατεβάσει αυθαίρετα αρχεία ιστότοπου, συμπεριλαμβανομένων των αντιγράφων ασφαλείας, των αποτυπωμάτων βάσεων δεδομένων, των αρχείων καταγραφής και των σφαλμάτων, και να αναζητήσει εργαλεία όπως το adminer και το phpmyadmin που έχουν αφήσει πίσω οι διαχειριστές του ιστότοπου.
Πρόσφατα, το Palo Alto Networks Unit 42 ανακάλυψε μια παρόμοια κακόβουλη καμπάνια έγχυσης JavaScript που ανακατευθύνει τους επισκέπτες σε adware και παραπλανητικές σελίδες. Πάνω από 50.000 ιστότοποι έχουν επηρεαστεί από το 2022.
Πώς μπορούν οι χάκερ να παραβιάσουν νόμιμες σελίδες χρησιμοποιώντας την ένεση κώδικα;
Οι χάκερ μπορούν να παραβιάσουν νόμιμες σελίδες χρησιμοποιώντας ένεση κώδικα εκμεταλλευόμενοι ευπάθειες στον κώδικα ή το λογισμικό που χρησιμοποιείται για την κατασκευή του ιστότοπου. Υπάρχουν διάφοροι τύποι επιθέσεων εισαγωγής κώδικα, όπως η ένεση SQL, η δέσμη ενεργειών μεταξύ τοποθεσιών (XSS) και η απομακρυσμένη συμπερίληψη αρχείων (RFI).
Η ένεση SQL περιλαμβάνει την εισαγωγή κακόβουλου κώδικα SQL στο ερώτημα βάσης δεδομένων ενός ιστότοπου, το οποίο μπορεί να επιτρέψει σε έναν εισβολέα να παρακάμψει τον έλεγχο ταυτότητας, να ανακτήσει ευαίσθητες πληροφορίες ή να τροποποιήσει τη βάση δεδομένων.
Το XSS είναι ένας τύπος επίθεσης με ένεση που στοχεύει τους χρήστες που επισκέπτονται έναν ιστότοπο και όχι τον ίδιο τον ιστότοπο. Οι εισβολείς εισάγουν κακόβουλα σενάρια σε ιστοσελίδες που βλέπουν οι χρήστες, επιτρέποντάς τους να υποκλέψουν cookie περιόδου λειτουργίας, να ανακατευθύνουν τους χρήστες σε ιστότοπους ηλεκτρονικού ψαρέματος ή να κλέψουν διαπιστευτήρια σύνδεσης.
Το RFI περιλαμβάνει την έγχυση κακόβουλου κώδικα σε μια ιστοσελίδα μέσω της εκμετάλλευσης μιας ευπάθειας στο μηχανισμό συμπερίληψης αρχείων μιας εφαρμογής Ιστού. Αυτό επιτρέπει στον εισβολέα να εκτελέσει απομακρυσμένο κώδικα στον διακομιστή, ο οποίος μπορεί να οδηγήσει σε πλήρη έλεγχο του διακομιστή web και ευαίσθητων πληροφοριών που εκτίθενται.
Οι χάκερ μπορούν επίσης να χρησιμοποιήσουν την ένεση κώδικα για να εισαγάγουν κακόβουλο κώδικα σε νόμιμους ιστότοπους που μπορεί να οδηγήσουν σε εξάπλωση κακόβουλου λογισμικού ή απόπειρες ηλεκτρονικού ψαρέματος. Για να αποτρέψετε επιθέσεις ένεσης κώδικα, είναι σημαντικό να διατηρείτε ενημερωμένες τις εφαρμογές Ιστού και τις προσθήκες, να επικυρώνετε τα στοιχεία των χρηστών και να χρησιμοποιείτε ασφαλείς πρακτικές κωδικοποίησης.
