Balada Injector atakuje strony internetowe za pomocą WordPressa
Według Sucuri firmy GoDaddy, masowa kampania o nazwie Balada Injector zainfekowała ponad milion witryn WordPress złośliwym oprogramowaniem od 2017 roku. Napastnicy wykorzystują różne metody i luki w zabezpieczeniach, aby włamać się do witryn WordPress, w tym luki w zabezpieczeniach motywów i wtyczek. Ataki pojawiają się falami co kilka tygodni i można je łatwo zidentyfikować dzięki użyciu zaciemniania String.fromCharCode, nazw domen zawierających złośliwe skrypty i przekierowań do stron oszukańczych.
Złośliwe oprogramowanie ma na celu generowanie fałszywych administratorów WordPress, zbieranie danych przechowywanych na hostach i pozostawianie backdoorów w celu stałego dostępu. Osoby atakujące wyszukują również zapisywalne katalogi należące do innych witryn powiązanych z systemem plików zaatakowanej witryny. Ataki obejmują fałszywe wsparcie techniczne, oszukańcze wygrane na loterii i nieuczciwe strony CAPTCHA, które zachęcają użytkowników do włączenia powiadomień w celu sprawdzenia, czy nie są robotami, umożliwiając atakującym wysyłanie reklam spamowych.
Balada Injector polegała na ponad 100 domenach i różnych metodach, takich jak wstrzyknięcie kodu HTML i adres URL witryny, aby wykorzystać znane luki w zabezpieczeniach. Atakujący mają głównie na celu uzyskanie poświadczeń bazy danych przechowywanych w pliku wp-config.php. Szkodliwe oprogramowanie może odczytywać lub pobierać dowolne pliki witryn, w tym kopie zapasowe, zrzuty baz danych, pliki dziennika i pliki błędów oraz wyszukiwać narzędzia, takie jak adminer i phpmyadmin pozostawione przez administratorów witryny.
Niedawno jednostka Palo Alto Networks Unit 42 wykryła podobną kampanię wstrzykiwania złośliwego kodu JavaScript, która przekierowuje odwiedzających do stron z oprogramowaniem reklamowym i wprowadzających w błąd. Od 2022 roku problem dotyczy ponad 50 000 stron internetowych.
W jaki sposób hakerzy mogą naruszyć legalne strony za pomocą wstrzykiwania kodu?
Hakerzy mogą naruszyć legalne strony za pomocą wstrzyknięcia kodu, wykorzystując luki w kodzie lub oprogramowaniu użytym do zbudowania witryny. Istnieje kilka typów ataków polegających na wstrzykiwaniu kodu, takich jak wstrzykiwanie kodu SQL, skrypty między witrynami (XSS) i zdalne włączanie plików (RFI).
Wstrzyknięcie SQL polega na wstawieniu złośliwego kodu SQL do zapytania bazy danych witryny internetowej, co może pozwolić atakującemu na ominięcie uwierzytelniania, pobranie poufnych informacji lub zmodyfikowanie bazy danych.
XSS to rodzaj ataku polegającego na wstrzykiwaniu, którego celem są użytkownicy odwiedzający witrynę internetową, a nie sama witryna. Atakujący umieszczają złośliwe skrypty na stronach internetowych przeglądanych przez użytkowników, umożliwiając im kradzież sesyjnych plików cookie, przekierowywanie użytkowników do stron phishingowych lub kradzież danych logowania.
RFI polega na wstrzyknięciu złośliwego kodu na stronę internetową poprzez wykorzystanie luki w mechanizmie dołączania plików aplikacji internetowej. Pozwala to atakującemu na zdalne wykonanie kodu na serwerze, co może doprowadzić do pełnej kontroli nad serwerem WWW i ujawnienia poufnych informacji.
Hakerzy mogą również używać wstrzykiwania kodu do umieszczania złośliwego kodu w legalnych witrynach internetowych, co może prowadzić do rozprzestrzeniania złośliwego oprogramowania lub prób wyłudzania informacji. Aby zapobiec atakom polegającym na wstrzykiwaniu kodu, ważne jest aktualizowanie aplikacji internetowych i wtyczek, sprawdzanie poprawności danych wprowadzonych przez użytkownika i stosowanie bezpiecznych praktyk kodowania.
