A Balada Injector WordPress használatával célozza meg a webhelyeket

A GoDaddy's Sucuri szerint a Balada Injector nevű hatalmas kampány 2017 óta több mint egymillió WordPress-webhelyet fertőzött meg rosszindulatú programokkal. A támadók különféle módszereket és sebezhetőségeket használnak a WordPress-webhelyek feltörésére, beleértve a témákat és a bővítményeket is. A támadások hullámokban fordulnak elő néhány hetente, és könnyen azonosíthatók a String.fromCharCode elfedés, a rosszindulatú szkripteket tartalmazó tartománynevek és a csaló webhelyekre történő átirányítások alapján.

A rosszindulatú program célja, hogy hamis WordPress adminisztrátor felhasználókat generáljon, a gazdagépeken tárolt adatokat gyűjtse össze, és hátsó ajtókat hagyjon a folyamatos hozzáféréshez. A támadók a feltört webhely fájlrendszeréhez kapcsolódó más webhelyekhez tartozó írható könyvtárakat is keresnek. A támadások közé tartozik a hamis technikai támogatás, a csaló lottónyeremények és a csaló CAPTCHA oldalak, amelyek arra kérik a felhasználókat, hogy kapcsolják be az értesítéseket, hogy megbizonyosodjanak arról, hogy nem robotok, így a támadók spam hirdetéseket küldhetnek.

A Balada Injector több mint 100 tartományra és különféle módszerre támaszkodott, mint például a HTML injekció és a webhely URL-címe, hogy kihasználja az ismert biztonsági hibákat. A támadók elsősorban a wp-config.php fájlban tárolt adatbázis hitelesítő adatok megszerzésére törekszenek. A rosszindulatú program tetszőleges webhelyfájlt olvashat vagy tölthet le, beleértve a biztonsági mentéseket, az adatbázis-kiíratásokat, a napló- és hibafájlokat, és olyan eszközöket kereshet, mint az adminisztrátor és a phpmyadmin, amelyeket a webhely rendszergazdái hagytak hátra.

Nemrég a Palo Alto Networks 42-es egysége felfedezett egy hasonló rosszindulatú JavaScript-injekciós kampányt, amely a látogatókat adware és félrevezető oldalakra irányítja át. 2022 óta több mint 50 000 webhely érintett.

Hogyan kompromittálhatják a hackerek a törvényes oldalakat kódbefecskendezéssel?

A hackerek kódbefecskendezéssel feltörhetik a legitim oldalakat, kihasználva a webhely felépítéséhez használt kód vagy szoftver biztonsági réseit. A kódbefecskendezési támadásoknak többféle típusa létezik, például az SQL-befecskendezés, a Cross-Site Scripting (XSS) és a Remote File Inclusion (RFI).

Az SQL-befecskendezés magában foglalja a rosszindulatú SQL-kód beszúrását a webhely adatbázis-lekérdezésébe, amely lehetővé teszi a támadó számára, hogy megkerülje a hitelesítést, érzékeny információkat kérjen le vagy módosítsa az adatbázist.

Az XSS egyfajta injekciós támadás, amely a webhelyet felkereső felhasználókat célozza meg, nem magát a webhelyet. A támadók rosszindulatú szkripteket fecskendeznek be a felhasználók által megtekintett weboldalakra, lehetővé téve számukra a munkamenet-cookie-k ellopását, a felhasználók adathalász webhelyekre való átirányítását vagy a bejelentkezési adatok ellopását.

Az RFI magában foglalja a rosszindulatú kód bejuttatását egy weboldalba egy webalkalmazás fájlbefoglaló mechanizmusának sérülékenységének kihasználásával. Ez lehetővé teszi a támadó számára, hogy távoli kódot hajtson végre a kiszolgálón, ami a webszerver teljes ellenőrzéséhez és a bizalmas információk felfedéséhez vezethet.

A hackerek kódbefecskendezést is használhatnak arra, hogy rosszindulatú kódot szúrjanak be jogszerű webhelyekre, amelyek rosszindulatú programok terjedéséhez vagy adathalász kísérletekhez vezethetnek. A kódbefecskendezési támadások megelőzése érdekében fontos a webalkalmazások és beépülő modulok naprakészen tartása, a felhasználói bevitel érvényesítése és a biztonságos kódolási gyakorlatok alkalmazása.