Ovaj je zlonamjerni softver prvi put uočen 2017. godine i zarazio je više od milijun web-mjesta koja pokreću WordPress. Evo što trebate znati.

WordPressu kibernetički napadi nisu nepoznanica, a sada je pretrpio još jedno iskorištavanje putem kojeg je zaraženo preko milijun stranica. Ova zlonamjerna kampanja izvedena je pomoću vrste zlonamjernog softvera poznatog kao Balada Injector. Ali kako ovaj malware radi i kako je uspio zaraziti više od milijun WordPress stranica?

Osnove zlonamjernog softvera Balada Injector

Balada injektor (prvi put skovan u a Izvješće Dr. Weba) zlonamjerni je program koji se koristi od 2017., kada je započela ova golema kampanja infekcije WordPressa. Balada Injector je backdoor malware temeljen na Linuxu koji se koristi za infiltraciju web stranica.

Backdoor malware i virusi može zaobići uobičajene metode prijave ili provjere autentičnosti, dopuštajući napadaču pristup web-mjestu s razvojne strane. Odavde napadač može napraviti neovlaštene promjene, ukrasti dragocjene podatke, pa čak i potpuno zatvoriti stranicu.

instagram viewer

Backdoors iskorištavaju slabosti na web stranicama kako bi dobili neovlašteni pristup. Mnoga web mjesta vani imaju jednu ili više slabosti (poznatih i kao sigurnosne ranjivosti), pa mnogim hakerima nije teško pronaći ulaz.

Dakle, kako su kibernetički kriminalci uspjeli kompromitirati više od milijun WordPress stranica koristeći Balada Injector?

Kako je Balada zarazila više od milijun WordPress stranica?

U travnju 2023. tvrtka za kibernetičku sigurnost Sucuri izvijestila je o zlonamjernoj kampanji koju je pratila od 2017. godine. u Sucuri blog post, navedeno je da je 2023. godine skener tvrtke SiteCheck otkrio prisutnost Balada Injectora više od 140.000 puta. Utvrđeno je da je jedna web stranica napadnuta šokantnih 311 puta koristeći 11 različitih varijacija Balada Injectora.

Sucuri je također izjavio da ima "više od 100 potpisa koji pokrivaju front-end i back-end varijacije zlonamjernog softvera ubačenog u datoteke poslužitelja i baze podataka WordPress." Tvrtka je primijetila da se infekcije Balada Injectorom obično odvijaju u valovima, a učestalost se povećava svakih nekoliko tjedana.

Kako bi zarazio toliko mnogo WordPress stranica, Balada Injector je posebno ciljao na ranjivosti unutar tema i dodataka platforme. WordPress nudi tisuće dodataka za svoje korisnike i širok raspon tema sučelja, od kojih su neke bile na meti drugih hakera u prošlosti.

Ono što je ovdje posebno zanimljivo je da se već zna za ranjivosti koje su ciljane u kampanji Balada. Neke od ovih ranjivosti priznate su prije mnogo godina, dok su druge tek nedavno otkrivene. Cilj Balada Injectora je da ostane prisutan na zaraženom mjestu dugo nakon što je implementiran, čak i ako dodatak koji je eksploatirao dobije ažuriranje.

U gore spomenutoj objavi na blogu, Sucuri je naveo niz metoda zaraze korištenih za implementaciju Balade, uključujući:

  • HTML injekcije.
  • Injekcije baze podataka.
  • SiteURL injekcije.
  • Proizvoljna ubacivanja datoteka.

Povrh toga, Balada Injector koristi String.fromCharCode kao zamagljivanje tako da je istraživačima kibernetičke sigurnosti teže otkriti ga i pokupiti sve obrasce unutar tehnike napada.

Hakeri zaraze WordPress stranice s Baladom kako bi preusmjerili korisnike na prijevarne stranice, kao što su lažne lutrije, prijevare s obavijestima i lažne platforme za tehnička izvješća. Balada također može izvući vrijedne informacije iz baza podataka zaraženih stranica.

Kako izbjeći napade Balada injektora

Postoje neke prakse koje možete primijeniti kako biste izbjegli Balada Injector, kao što su:

  • Redovito ažuriranje softvera web stranice (uključujući teme i dodatke).
  • Provođenje redovitih čišćenja softvera.
  • Aktiviranje dvofaktorska autentifikacija.
  • Korištenje jake lozinke.
  • Ograničavanje dopuštenja administratora stranice.
  • Implementacija sustava kontrole integriteta datoteka.
  • Čuvanje datoteka lokalnog razvojnog okruženja odvojenih od datoteka poslužitelja.
  • Promjena lozinki baze podataka nakon bilo kakvog kompromisa.

Poduzimanje takvih koraka može vam pomoći da svoju WordPress web stranicu zaštitite od Balade. Sucuri također ima Vodič za čišćenje WordPressa koje možete upotrijebiti kako biste svoje web mjesto zaštitili od zlonamjernog softvera.

Balada injektor je još uvijek na slobodi

U vrijeme pisanja ovog teksta, Balada Injector je još uvijek vani i inficira web stranice. Sve dok se ovaj zlonamjerni softver u potpunosti ne zaustavi, on nastavlja predstavljati rizik za korisnike WordPressa. Iako je šokantno čuti koliko je web-mjesta već zaraženo, srećom niste potpuno bespomoćni protiv backdoor ranjivosti i zlonamjernog softvera poput Balade koji iskorištava te nedostatke.