Balada Injector retter seg mot nettsteder ved hjelp av WordPress

I følge GoDaddys Sucuri har en massiv kampanje kalt Balada Injector infisert mer enn én million WordPress-nettsteder med skadelig programvare siden 2017. Angriperne bruker ulike metoder og sårbarheter for å bryte WordPress-nettsteder, inkludert tema- og plugin-sårbarheter. Angrepene skjer i bølger med noen få ukers mellomrom og er lett identifiserbare ved bruk av String.fromCharCode-obfuskasjon, domenenavn som er vert for ondsinnede skript og omdirigeringer til svindelsider.

Skadevaren er designet for å generere falske WordPress-administratorbrukere, høste data som er lagret på vertene, og la bakdører for vedvarende tilgang. Angriperne søker også etter skrivbare kataloger som tilhører andre nettsteder knyttet til det kompromitterte nettstedets filsystem. Angrepene inkluderer falsk teknisk støtte, falske lottogevinster og useriøse CAPTCHA-sider som ber brukere om å slå på varsler for å bekrefte at de ikke er roboter, noe som gjør det mulig for angriperne å sende spam-annonser.

Balada Injector har stolt på over 100 domener og ulike metoder, som HTML-injeksjon og nettstedsadresse, for å utnytte kjente sikkerhetsfeil. Angriperne har hovedsakelig som mål å skaffe databaselegitimasjon lagret i filen wp-config.php. Skadevaren kan lese eller laste ned vilkårlige nettstedsfiler, inkludert sikkerhetskopier, databasedumper, logg- og feilfiler, og søke etter verktøy som adminer og phpmyadmin som er etterlatt av nettstedsadministratorer.

Nylig oppdaget Palo Alto Networks Unit 42 en lignende ondsinnet JavaScript-injeksjonskampanje som omdirigerer besøkende til adware og villedende sider. Over 50 000 nettsteder har vært berørt siden 2022.

Hvordan kan hackere kompromittere legitime sider ved å bruke kodeinjeksjon?

Hackere kan kompromittere legitime sider ved å bruke kodeinjeksjon ved å utnytte sårbarheter i koden eller programvaren som brukes til å bygge nettstedet. Det finnes flere typer kodeinjeksjonsangrep, for eksempel SQL-injeksjon, Cross-Site Scripting (XSS) og Remote File Inclusion (RFI).

SQL-injeksjon innebærer å sette inn ondsinnet SQL-kode i et nettsteds databasespørring, som kan tillate en angriper å omgå autentisering, hente sensitiv informasjon eller endre databasen.

XSS er en type injeksjonsangrep som retter seg mot brukere som besøker et nettsted, i stedet for selve nettstedet. Angripere injiserer ondsinnede skript på nettsider som er sett av brukere, slik at de kan stjele øktinformasjonskapsler, omdirigere brukere til phishing-sider eller stjele påloggingsinformasjon.

RFI innebærer å injisere ondsinnet kode på en nettside ved å utnytte en sårbarhet i en nettapplikasjons filinkluderingsmekanisme. Dette gjør at angriperen kan kjøre ekstern kode på serveren, noe som kan føre til full kontroll over webserveren og sensitiv informasjon blir eksponert.

Hackere kan også bruke kodeinjeksjon for å sette inn ondsinnet kode på legitime nettsteder som kan føre til spredning av skadelig programvare eller phishing-forsøk. For å forhindre kodeinjeksjonsangrep er det viktig å holde nettapplikasjoner og plugins oppdatert, validere brukerinndata og bruke sikker kodingspraksis.