Balada Injector richt zich op websites met behulp van WordPress
Volgens Sucuri van GoDaddy heeft een massale campagne met de naam Balada Injector sinds 2017 meer dan een miljoen WordPress-websites met malware besmet. De aanvallers gebruiken verschillende methoden en kwetsbaarheden om WordPress-sites te doorbreken, waaronder kwetsbaarheden in thema's en plug-ins. De aanvallen vinden in golven om de paar weken plaats en zijn gemakkelijk te herkennen aan het gebruik van String.fromCharCode-verduistering, domeinnamen die kwaadaardige scripts hosten en omleidingen naar zwendelsites.
De malware is ontworpen om valse WordPress-beheerders te genereren, gegevens te verzamelen die op de hosts zijn opgeslagen en achterdeurtjes achter te laten voor permanente toegang. De aanvallers zoeken ook naar beschrijfbare mappen die behoren tot andere sites die zijn gekoppeld aan het bestandssysteem van de gecompromitteerde website. De aanvallen omvatten valse technische ondersteuning, frauduleuze loterijwinsten en frauduleuze CAPTCHA-pagina's die gebruikers vragen om meldingen in te schakelen om te verifiëren dat ze geen robots zijn, waardoor de aanvallers spamadvertenties kunnen verzenden.
Balada Injector heeft vertrouwd op meer dan 100 domeinen en verschillende methoden, zoals HTML-injectie en Site-URL, om bekende beveiligingsfouten te misbruiken. De aanvallers zijn voornamelijk gericht op het verkrijgen van databasereferenties die zijn opgeslagen in het bestand wp-config.php. De malware kan willekeurige sitebestanden lezen of downloaden, inclusief back-ups, databasedumps, log- en foutbestanden, en zoeken naar tools zoals adminer en phpmyadmin die zijn achtergelaten door sitebeheerders.
Onlangs ontdekte Palo Alto Networks Unit 42 een soortgelijke kwaadaardige JavaScript-injectiecampagne die bezoekers omleidt naar adware en misleidende pagina's. Sinds 2022 zijn meer dan 50.000 websites getroffen.
Hoe kunnen hackers legitieme pagina's compromitteren met behulp van code-injectie?
Hackers kunnen legitieme pagina's binnendringen met behulp van code-injectie door misbruik te maken van kwetsbaarheden in de code of software die is gebruikt om de website te bouwen. Er zijn verschillende soorten aanvallen met code-injectie, zoals SQL-injectie, Cross-Site Scripting (XSS) en Remote File Inclusion (RFI).
SQL-injectie omvat het invoegen van kwaadaardige SQL-code in de databasequery van een website, waardoor een aanvaller authenticatie kan omzeilen, gevoelige informatie kan ophalen of de database kan wijzigen.
XSS is een soort injectie-aanval die gericht is op gebruikers die een website bezoeken, in plaats van op de website zelf. Aanvallers injecteren kwaadaardige scripts in webpagina's die door gebruikers worden bekeken, waardoor ze sessiecookies kunnen stelen, gebruikers kunnen omleiden naar phishing-sites of inloggegevens kunnen stelen.
Bij RFI wordt schadelijke code in een webpagina geïnjecteerd door misbruik te maken van een kwetsbaarheid in het file include-mechanisme van een webtoepassing. Hierdoor kan de aanvaller externe code op de server uitvoeren, wat kan leiden tot volledige controle over de webserver en het vrijgeven van gevoelige informatie.
Hackers kunnen ook code-injectie gebruiken om schadelijke code in te voegen in legitieme websites die kunnen leiden tot de verspreiding van malware of phishing-pogingen. Om aanvallen met code-injectie te voorkomen, is het belangrijk om webapplicaties en plug-ins up-to-date te houden, gebruikersinvoer te valideren en veilige coderingspraktijken te gebruiken.
