Ta zlonamerna programska oprema je bila prvič opažena leta 2017 in je okužila več kot milijon spletnih mest, ki uporabljajo WordPress. Tukaj je tisto, kar morate vedeti.

WordPressu kibernetski napadi niso neznanka, zdaj pa je bil deležen še enega izkoriščanja, s katerim je bilo okuženih več kot milijon spletnih mest. Ta zlonamerna kampanja je potekala z zlonamerno programsko opremo, imenovano Balada Injector. Toda kako ta zlonamerna programska oprema deluje in kako ji je uspelo okužiti več kot milijon spletnih mest WordPress?

Osnove zlonamerne programske opreme Balada Injector

Injektor Balada (prvič skovan v a Poročilo Dr. Web) je zlonamerna programska oprema, ki se uporablja od leta 2017, ko se je začela ta velika kampanja okužbe z WordPressom. Balada Injector je zakulisna zlonamerna programska oprema, ki temelji na Linuxu in se uporablja za infiltracijo na spletna mesta.

Backdoor zlonamerna programska oprema in virusi lahko obide običajne metode prijave ali preverjanja pristnosti, kar napadalcu omogoči dostop do strani razvijalca spletnega mesta. Od tu lahko napadalec naredi nepooblaščene spremembe, ukrade dragocene podatke in celo popolnoma zapre spletno mesto.

instagram viewer

Zakulisna vrata izkoriščajo slabosti spletnih mest, da pridobijo nepooblaščen dostop. Mnoga spletna mesta imajo eno ali več slabosti (znanih tudi kot varnostne ranljivosti), zato mnogim hekerjem ni težko najti poti.

Torej, kako je kiberkriminalcem uspelo ogroziti več kot milijon spletnih mest WordPress z uporabo Balada Injector?

Kako je Balada okužila več kot milijon spletnih mest WordPress?

Aprila 2023 je podjetje za kibernetsko varnost Sucuri poročalo o zlonamerni kampanji, ki jo je spremljalo od leta 2017. V Objava na blogu Sucuri, je bilo navedeno, da je leta 2023 skener SiteCheck podjetja zaznal prisotnost Balada Injector več kot 140.000-krat. Ugotovljeno je bilo, da je bilo eno spletno mesto napadeno šokantno 311-krat z uporabo 11 različnih različic Balada Injector.

Sucuri je tudi navedel, da ima "več kot 100 podpisov, ki pokrivajo sprednje in zadnje različice zlonamerne programske opreme, vbrizgane v datoteke strežnika in baze podatkov WordPress." Podjetje je opazilo, da se okužbe z Balada Injectorjem običajno odvijajo v valovih, pogostnost pa se poveča vsakih nekaj tednov.

Da bi okužil toliko spletnih mest WordPress, je Balada Injector posebej ciljal na ranljivosti v temah in vtičnikih platforme. WordPress ponuja na tisoče vtičnikov za svoje uporabnike in široko paleto tem vmesnika, od katerih so nekatere v preteklosti že tarča drugih hekerjev.

Pri tem je še posebej zanimivo, da so ranljivosti, na katere cilja kampanja Balada, že znane. Nekatere od teh ranljivosti so bile priznane že pred leti, druge pa so bile odkrite šele pred kratkim. Cilj Balada Injectorja je, da ostane prisoten na okuženem mestu še dolgo potem, ko je uveden, tudi če vtičnik, ki ga je izkoriščal, prejme posodobitev.

V zgoraj omenjeni objavi v spletnem dnevniku je Sucuri navedel številne metode okužbe, uporabljene za namestitev Balade, vključno z:

  • Injekcije HTML.
  • Injekcije v bazo podatkov.
  • Injekcije SiteURL.
  • Injekcije poljubnih datotek.

Poleg tega Balada Injector uporablja String.fromCharCode kot zamegljevanje, tako da ga raziskovalci kibernetske varnosti težje odkrijejo in poberejo kakršne koli vzorce znotraj tehnike napada.

Hekerji okužijo spletna mesta WordPress z Balado, da bi uporabnike preusmerili na strani s prevarami, kot so lažne loterije, prevare z obvestili in platforme za lažna tehnološka poročila. Balada lahko tudi izloči dragocene informacije iz baz podatkov okuženih mest.

Kako se izogniti napadom Balada Injector

Obstaja nekaj praks, ki jih lahko uporabite, da se izognete Balada Injectorju, kot so:

  • Redno posodabljanje programske opreme spletnega mesta (vključno s temami in vtičniki).
  • Izvajanje rednih čiščenj programske opreme.
  • Aktiviranje dvofaktorsko avtentikacijo.
  • Uporaba močna gesla.
  • Omejevanje dovoljenj skrbnika mesta.
  • Implementacija sistemov za nadzor celovitosti datotek.
  • Ločevanje datotek lokalnega razvojnega okolja od datotek strežnika.
  • Spreminjanje gesel baze podatkov po vsakem kompromisu.

Takšni ukrepi vam lahko pomagajo zaščititi vaše spletno mesto WordPress pred Balado. Sucuri ima tudi a Vodnik za čiščenje WordPressa ki jih lahko uporabite za zaščito spletnega mesta pred zlonamerno programsko opremo.

Injektor Balada je še vedno na prostosti

V času pisanja je Balada Injector še vedno tam in okužuje spletna mesta. Dokler ta zlonamerna programska oprema ni popolnoma ustavljena, še naprej predstavlja tveganje za uporabnike WordPressa. Čeprav je šokantno slišati, koliko spletnih mest je že okuženih, na srečo niste povsem nemočni pred ranljivostmi zakulisnih vrat in zlonamerno programsko opremo, kot je Balada, ki izkorišča te pomanjkljivosti.