Balada Injector нацелен на веб-сайты, использующие WordPress

По данным Sucuri из GoDaddy, с 2017 года масштабная кампания под названием Balada Injector заразила более миллиона веб-сайтов WordPress вредоносным ПО. Злоумышленники используют различные методы и уязвимости для взлома сайтов WordPress, включая уязвимости тем и плагинов. Атаки происходят волнами каждые несколько недель, и их легко идентифицировать по использованию обфускации String.fromCharCode, доменным именам, на которых размещены вредоносные скрипты, и перенаправлениям на мошеннические сайты.

Вредонос предназначен для создания поддельных пользователей-администраторов WordPress, сбора данных, хранящихся на хостах, и создания бэкдоров для постоянного доступа. Злоумышленники также ищут доступные для записи каталоги, принадлежащие другим сайтам, связанным с файловой системой скомпрометированного веб-сайта. Атаки включают фальшивую техническую поддержку, мошеннические выигрыши в лотерею и мошеннические страницы CAPTCHA, которые предлагают пользователям включить уведомления, чтобы убедиться, что они не роботы, что позволяет злоумышленникам рассылать спам-рекламу.

Balada Injector использует более 100 доменов и различные методы, такие как внедрение HTML и URL-адрес сайта, для использования известных недостатков безопасности. Злоумышленники в основном стремятся получить учетные данные базы данных, хранящиеся в файле wp-config.php. Вредоносное ПО может читать или загружать произвольные файлы сайта, включая резервные копии, дампы базы данных, файлы журналов и ошибок, а также искать такие инструменты, как adminer и phpmyadmin, оставленные администраторами сайта.

Недавно Palo Alto Networks Unit 42 обнаружила аналогичную вредоносную кампанию внедрения JavaScript, которая перенаправляет посетителей на рекламное ПО и вводящие в заблуждение страницы. С 2022 года пострадало более 50 000 веб-сайтов.

Как хакеры могут скомпрометировать законные страницы с помощью внедрения кода?

Хакеры могут взломать законные страницы с помощью внедрения кода, используя уязвимости в коде или программном обеспечении, используемом для создания веб-сайта. Существует несколько типов атак с внедрением кода, таких как внедрение SQL, межсайтовый скриптинг (XSS) и удаленное включение файлов (RFI).

Внедрение SQL включает в себя вставку вредоносного кода SQL в запрос базы данных веб-сайта, что может позволить злоумышленнику обойти аутентификацию, получить конфиденциальную информацию или изменить базу данных.

XSS — это тип инъекционной атаки, нацеленной на пользователей, посещающих веб-сайт, а не на сам веб-сайт. Злоумышленники внедряют вредоносные скрипты в веб-страницы, просматриваемые пользователями, что позволяет им украсть файлы cookie сеанса, перенаправить пользователей на фишинговые сайты или украсть учетные данные для входа.

RFI предполагает внедрение вредоносного кода на веб-страницу путем использования уязвимости в механизме включения файлов веб-приложения. Это позволяет злоумышленнику выполнять удаленный код на сервере, что может привести к полному контролю над веб-сервером и раскрытию конфиденциальной информации.

Хакеры также могут использовать внедрение кода для внедрения вредоносного кода на законные веб-сайты, что может привести к распространению вредоносных программ или попыткам фишинга. Чтобы предотвратить атаки путем внедрения кода, важно поддерживать веб-приложения и подключаемые модули в актуальном состоянии, проверять вводимые пользователем данные и использовать методы безопасного кодирования.