Эта вредоносная программа была впервые обнаружена в 2017 году и заразила более миллиона сайтов под управлением WordPress. Вот что вам нужно знать.
WordPress не новичок в кибератаках, и теперь он пострадал от еще одного эксплойта, с помощью которого было заражено более миллиона сайтов. Эта вредоносная кампания проводилась с использованием вредоносного ПО, известного как Balada Injector. Но как работает это вредоносное ПО и как ему удалось заразить более миллиона сайтов WordPress?
Основы вредоносного ПО Balada Injector
Balada Injector (впервые придуман такой в Доклад «Доктор Веб») — это вредоносная программа, которая используется с 2017 года, когда началась масштабная кампания по заражению WordPress. Balada Injector — это вредоносный бэкдор на базе Linux, используемый для проникновения на веб-сайты.
Бэкдор вредоносное ПО и вирусы может обойти типичные методы входа или аутентификации, позволяя злоумышленнику получить доступ к стороне разработчика веб-сайта. Отсюда злоумышленник может внести несанкционированные изменения, украсть ценные данные и даже полностью закрыть сайт.
Бэкдоры используют слабые места веб-сайтов для получения несанкционированного доступа. Многие веб-сайты имеют одну или несколько уязвимостей (также известных как уязвимости в системе безопасности), поэтому многим хакерам не составит труда найти способ проникнуть внутрь.
Итак, как киберпреступникам удалось скомпрометировать более миллиона сайтов WordPress с помощью Balada Injector?
Как Balada заразила более миллиона сайтов WordPress?
В апреле 2023 года компания Sucuri, занимающаяся кибербезопасностью, сообщила о вредоносной кампании, которую она отслеживала с 2017 года. в Сообщение в блоге Сукури, было заявлено, что в 2023 году сканер SiteCheck компании обнаружил присутствие Balada Injector более 140 000 раз. Было обнаружено, что один веб-сайт был атакован 311 раз с использованием 11 различных вариантов Balada Injector.
Sucuri также заявила, что у нее есть «более 100 сигнатур, охватывающих как внешние, так и внутренние варианты вредоносных программ, внедряемых в серверные файлы». и базы данных WordPress.» Фирма заметила, что заражение Balada Injector обычно происходит волнами, частота которых увеличивается каждые несколько недель.
Чтобы заразить так много сайтов WordPress, Balada Injector специально нацелен на уязвимости в темах и плагинах платформы. WordPress предлагает тысячи плагинов для своих пользователей и широкий спектр тем интерфейса, некоторые из которых в прошлом были атакованы другими хакерами.
Что особенно интересно, так это то, что об уязвимостях, на которые нацелена кампания Balada, уже известно. Некоторые из этих уязвимостей были обнаружены много лет назад, а другие были обнаружены совсем недавно. Цель Balada Injector — оставаться на зараженном сайте еще долгое время после его развертывания, даже если плагин, который он использовал, получает обновление.
В вышеупомянутом сообщении в блоге Sucuri перечислил ряд методов заражения, используемых для развертывания Balada, в том числе:
- HTML-инъекции.
- Инъекции базы данных.
- Внедрение SiteURL.
- Произвольные инъекции файлов.
Кроме того, Balada Injector использует String.fromCharCode в качестве обфускации, чтобы исследователям кибербезопасности было сложнее обнаружить его и выявить какие-либо закономерности в методе атаки.
Хакеры заражают сайты WordPress с помощью Balada, чтобы перенаправлять пользователей на мошеннические страницы, такие как фальшивые лотереи, мошенничество с уведомлениями и фальшивые платформы технических отчетов. Balada также может извлекать ценную информацию из баз данных зараженных сайтов.
Как избежать приступов инжектора Balada
Есть некоторые методы, которые можно использовать, чтобы избежать инжектора Balada, такие как:
- Регулярное обновление программного обеспечения сайта (включая темы и плагины).
- Проведение регулярных чисток программного обеспечения.
- Активация двухфакторная аутентификация.
- С использованием надежные пароли.
- Ограничение прав администратора сайта.
- Внедрение систем контроля целостности файлов.
- Хранение файлов локальной среды разработки отдельно от файлов сервера.
- Смена паролей базы данных после любой компрометации.
Выполнение таких шагов может помочь вам защитить ваш сайт WordPress от Balada. Сукури также имеет Руководство по очистке WordPress которые вы можете использовать, чтобы защитить свой сайт от вредоносных программ.
Balada Injector все еще на свободе
На момент написания Balada Injector все еще существует и заражает веб-сайты. Пока эта вредоносная программа не будет полностью остановлена, она продолжает представлять опасность для пользователей WordPress. Удивительно слышать, сколько сайтов уже заражено, но, к счастью, вы не полностью беспомощны перед уязвимостями бэкдора и такими вредоносными программами, как Balada, которые используют эти недостатки.