Balada Injector riktar in sig på webbplatser med WordPress

Enligt GoDaddy's Sucuri har en massiv kampanj vid namn Balada Injector infekterat mer än en miljon WordPress-webbplatser med skadlig programvara sedan 2017. Angriparna använder olika metoder och sårbarheter för att bryta mot WordPress-webbplatser, inklusive sårbarheter för tema och plugin. Attackerna sker i vågor med några veckors mellanrum och är lätta att identifiera genom användning av String.fromCharCode-obfuskation, domännamn som är värd för skadliga skript och omdirigeringar till bluffwebbplatser.

Skadlig programvara är utformad för att generera falska WordPress-adminanvändare, skörda data som lagras på värdarna och lämna bakdörrar för ihållande åtkomst. Angriparna söker också efter skrivbara kataloger som tillhör andra webbplatser som är associerade med den utsatta webbplatsens filsystem. Attackerna inkluderar falsk teknisk support, bedrägliga lotterivinster och oseriösa CAPTCHA-sidor som uppmanar användare att aktivera aviseringar för att verifiera att de inte är robotar, vilket gör att angriparna kan skicka skräppostannonser.

Balada Injector har förlitat sig på över 100 domäner och olika metoder, såsom HTML-injektion och webbplats-URL, för att utnyttja kända säkerhetsbrister. Angriparna syftar främst till att få databasuppgifter lagrade i filen wp-config.php. Skadlig programvara kan läsa eller ladda ner godtyckliga webbplatsfiler, inklusive säkerhetskopior, databasdumpar, logg- och felfiler, och söka efter verktyg som adminer och phpmyadmin som har lämnats kvar av webbplatsadministratörer.

Nyligen upptäckte Palo Alto Networks Unit 42 en liknande skadlig JavaScript-injektionskampanj som omdirigerar besökare till adware och vilseledande sidor. Över 50 000 webbplatser har påverkats sedan 2022.

Hur kan hackare äventyra legitima sidor med hjälp av kodinjektion?

Hackare kan äventyra legitima sidor genom att använda kodinjektion genom att utnyttja sårbarheter i koden eller programvaran som används för att bygga webbplatsen. Det finns flera typer av kodinjektionsattacker, såsom SQL-injektion, Cross-Site Scripting (XSS) och Remote File Inclusion (RFI).

SQL-injektion innebär att man infogar skadlig SQL-kod i en webbplatss databasfråga, vilket kan göra det möjligt för en angripare att kringgå autentisering, hämta känslig information eller ändra databasen.

XSS är en typ av injektionsattack som riktar sig till användare som besöker en webbplats, snarare än själva webbplatsen. Angripare injicerar skadliga skript på webbsidor som användarna tittar på, vilket gör att de kan stjäla sessionscookies, omdirigera användare till nätfiskewebbplatser eller stjäla inloggningsuppgifter.

RFI innebär att injicera skadlig kod på en webbsida genom att utnyttja en sårbarhet i en webbapplikations filinkluderingsmekanism. Detta gör att angriparen kan exekvera fjärrkod på servern, vilket kan leda till fullständig kontroll över webbservern och att känslig information exponeras.

Hackare kan också använda kodinjektion för att infoga skadlig kod på legitima webbplatser som kan leda till spridning av skadlig programvara eller nätfiskeförsök. För att förhindra attacker med kodinjektion är det viktigt att hålla webbapplikationer och plugins uppdaterade, validera användarinmatning och använda säker kodningsmetoder.