„Balada Injector“ taiko svetaines naudojant „WordPress“.
Anot „GoDaddy's Sucuri“, didžiulė kampanija „Balada Injector“ nuo 2017 m. užkrėtė daugiau nei milijoną „WordPress“ svetainių kenkėjiškomis programomis. Užpuolikai naudoja įvairius metodus ir pažeidžiamumą, kad įsilaužtų į „WordPress“ svetaines, įskaitant temų ir papildinių spragas. Atakos vyksta bangomis kas kelias savaites ir yra lengvai atpažįstamos naudojant String.fromCharCode užmaskavimą, domenų pavadinimus, kuriuose yra kenkėjiškų scenarijų, ir peradresavimus į sukčių svetaines.
Kenkėjiška programa skirta generuoti netikrus „WordPress“ administratorius, surinkti pagrindiniuose kompiuteriuose saugomus duomenis ir palikti užpakalines duris nuolatinei prieigai. Užpuolikai taip pat ieško įrašomų katalogų, priklausančių kitoms svetainėms, susietoms su pažeistos svetainės failų sistema. Atakos apima netikrą techninį palaikymą, apgaulingus loterijos laimėjimus ir nesąžiningus CAPTCHA puslapius, kurie ragina vartotojus įjungti pranešimus, kad įsitikintų, jog jie nėra robotai, todėl užpuolikai gali siųsti šlamšto skelbimus.
Balada Injector naudojo daugiau nei 100 domenų ir įvairių metodų, tokių kaip HTML injekcija ir svetainės URL, kad išnaudotų žinomus saugos trūkumus. Užpuolikai daugiausia siekia gauti duomenų bazės kredencialus, saugomus faile wp-config.php. Kenkėjiška programa gali nuskaityti arba atsisiųsti bet kokius svetainės failus, įskaitant atsargines kopijas, duomenų bazių išklotus, žurnalų ir klaidų failus, ir ieškoti įrankių, tokių kaip administratorius ir phpmyadmin, kuriuos paliko svetainės administratoriai.
Neseniai Palo Alto Networks Unit 42 aptiko panašią kenkėjišką JavaScript įpurškimo kampaniją, kuri nukreipia lankytojus į reklamines programas ir klaidinančius puslapius. Nuo 2022 m. buvo paveikta daugiau nei 50 000 svetainių.
Kaip įsilaužėliai gali pažeisti teisėtus puslapius naudodami kodo įvedimą?
Įsilaužėliai gali pažeisti teisėtus puslapius naudodami kodo įpurškimą, išnaudodami svetainės kūrimui naudojamo kodo ar programinės įrangos spragas. Yra keletas kodo įterpimo atakų tipų, pvz., SQL įterpimas, skersinis scenarijus (XSS) ir nuotolinis failų įtraukimas (RFI).
SQL injekcija apima kenkėjiško SQL kodo įterpimą į svetainės duomenų bazės užklausą, todėl užpuolikas gali apeiti autentifikavimą, nuskaityti neskelbtiną informaciją arba modifikuoti duomenų bazę.
XSS yra injekcijos atakos tipas, nukreiptas į svetainėje besilankančius vartotojus, o ne pačią svetainę. Užpuolikai į naudotojų žiūrimus tinklalapius suleidžia kenkėjiškų scenarijų, leidžiančių pavogti seanso slapukus, nukreipti vartotojus į sukčiavimo svetaines arba pavogti prisijungimo duomenis.
RFI apima kenkėjiško kodo įvedimą į tinklalapį išnaudojant žiniatinklio programos failo įtraukimo mechanizmą. Tai leidžia užpuolikui vykdyti nuotolinį kodą serveryje, o tai gali leisti visiškai valdyti žiniatinklio serverį ir atskleisti neskelbtiną informaciją.
Įsilaužėliai taip pat gali naudoti kodo įterpimą, kad į teisėtas svetaines įterptų kenkėjišką kodą, dėl kurio gali plisti kenkėjiška programa arba sukčiauti. Norint išvengti kodo įterpimo atakų, svarbu nuolat atnaujinti žiniatinklio programas ir papildinius, patvirtinti vartotojo įvestį ir naudoti saugaus kodavimo praktiką.