Ezt a rosszindulatú programot először 2017-ben észlelték, és több mint egymillió WordPress-t futtató webhelyet fertőzött meg. Íme, amit tudnod kell.

A WordPress számára nem ismeretlenek a kibertámadások, és most egy újabb kizsákmányolást szenvedett el, amelyen keresztül több mint egymillió webhelyet fertőztek meg. Ez a rosszindulatú kampány egyfajta Balada Injector néven ismert rosszindulatú program segítségével zajlott. De hogyan működik ez a rosszindulatú program, és hogyan tudott több mint egymillió WordPress-webhelyet megfertőzni?

A Balada Injector Malware alapjai

Balada Injektor (először született ilyen a Dr. Web jelentés) egy rosszindulatú program, amelyet 2017 óta használnak, amikor is elkezdődött ez a hatalmas WordPress fertőzési kampány. A Balada Injector egy Linux-alapú hátsó ajtók rosszindulatú programja, amelyet webhelyek beszivárgására használnak.

Backdoor rosszindulatú programok és vírusok megkerülheti a tipikus bejelentkezési vagy hitelesítési módszereket, lehetővé téve a támadó számára, hogy hozzáférjen a webhely fejlesztői oldalához. Innentől a támadó jogosulatlan változtatásokat hajthat végre, értékes adatokat lophat el, és akár teljesen le is zárhatja a webhelyet.

instagram viewer

A hátsó ajtók kihasználják a webhelyek gyengeségeit, hogy jogosulatlan hozzáférést szerezzenek. Sok webhelyen van egy vagy több gyengeség (más néven biztonsági rés), így sok hackernek nem esik nehezére megtalálni a bejutást.

Szóval, hogyan sikerült a kiberbűnözőknek több mint egymillió WordPress-webhelyet feltörni a Balada Injector segítségével?

Hogyan fertőzött meg a Balada több mint egymillió WordPress webhelyet?

2023 áprilisában a Sucuri kiberbiztonsági cég egy rosszindulatú kampányról számolt be, amelyet 2017 óta követett nyomon. Ban,-ben Sucuri blogbejegyzés, azt állították, hogy 2023-ban a vállalat SiteCheck szkennere több mint 140 000 alkalommal észlelte a Balada Injector jelenlétét. Megállapították, hogy egy webhelyet megdöbbentő 311 alkalommal támadtak meg a Balada Injector 11 különböző változatával.

A Sucuri azt is kijelentette, hogy "több mint 100 aláírással rendelkezik, amelyek lefedik a szerver fájljaiba fecskendezett rosszindulatú program elő- és háttérváltozatait egyaránt és WordPress adatbázisok." A cég észrevette, hogy a Balada Injector fertőzések jellemzően hullámokban mennek végbe, és néhány hetente megugrik a gyakoriság.

Sok WordPress webhely megfertőzése érdekében a Balada Injector kifejezetten a platform témáin és bővítményein belüli sebezhetőségeket célozta meg. A WordPress több ezer beépülő modult kínál felhasználóinak, valamint felülettéma széles skáláját, amelyek közül néhányat más hackerek is célba vettek a múltban.

Ami itt különösen érdekes, az az, hogy a Balada kampányban megcélzott sebezhetőségek már ismertek. E sebezhetőségek egy részét évekkel ezelőtt ismerték el, míg másokat csak nemrég fedeztek fel. A Balada Injector célja, hogy a telepítés után sokáig jelen legyen a fertőzött oldalon, még akkor is, ha az általa kihasznált bővítmény frissítést kap.

A fent említett blogbejegyzésben Sucuri felsorolt ​​számos fertőzési módszert, amelyeket a Balada telepítéséhez használtak, többek között:

  • HTML injekciók.
  • Adatbázis injekciók.
  • SiteURL injekciók.
  • Önkényes fájlbefecskendezés.

Ezen túlmenően a Balada Injector a String.fromCharCode kódot használja elhomályosításként, így a kiberbiztonsági kutatók nehezebben észlelhetik és felvehetik a támadási technikán belüli mintákat.

A hackerek megfertőzik a WordPress webhelyeit a Baladával, hogy átirányítsák a felhasználókat átverő oldalakra, például hamis lottókra, értesítési csalásokra és hamis műszaki jelentési platformokra. A Balada értékes információkat is kiszűrhet a fertőzött webhelyek adatbázisaiból.

Hogyan kerüljük el a Balada injektoros támadásokat

Van néhány gyakorlat a Balada Injector elkerülésére, például:

  • A webhely szoftverének rendszeres frissítése (beleértve a témákat és a bővítményeket).
  • A szoftverek rendszeres tisztítása.
  • Aktiválás kéttényezős hitelesítés.
  • Használata erős jelszavak.
  • A webhely rendszergazdai engedélyeinek korlátozása.
  • Fájlintegritás-ellenőrző rendszerek megvalósítása.
  • A helyi fejlesztési környezet fájljainak elkülönítése a kiszolgáló fájljaitól.
  • Adatbázis jelszavak módosítása bármilyen kompromisszum után.

Az ilyen lépések megtétele segíthet megóvni WordPress webhelyét a Baladától. Sucurinak is van a WordPress tisztítási útmutató amelyek segítségével megőrizheti webhelyét a rosszindulatú programoktól.

A Balada Injektor még mindig szabadon van

A cikk írásakor a Balada Injector még mindig ott van, és megfertőzi a webhelyeket. Amíg ez a rosszindulatú program teljesen meg nem áll, továbbra is kockázatot jelent a WordPress felhasználók számára. Noha megdöbbentő hallani, hány webhelyet fertőzött már meg, szerencsére nem vagy teljesen tehetetlen a hátsó ajtók sebezhetőségeivel és a Balada-hoz hasonló rosszindulatú programokkal szemben, amelyek kihasználják ezeket a hibákat.