Τα τελευταία τέσσερα χρόνια, μια κακόβουλη εκστρατεία κακόβουλου λογισμικού γνωστή ως Balada Injector έχει επηρεάσει περισσότερους από ένα εκατομμύριο ιστότοπους WordPress.
Η Sucuri της GoDaddy εντόπισε μια επίθεση μεγάλης κλίμακας που εκμεταλλεύεται θέματα και plugin για ιστότοπους WordPress. Οι επιθέσεις είναι γνωστό ότι γίνονται κατά κύματα μία φορά κάθε λίγες εβδομάδες.
Είναι ανησυχητικό ότι οι αναφερόμενοι ιστότοποι είναι δόλιοι και κακόβουλοι. Η ψεύτικη τεχνική υποστήριξη ανακατευθύνει τους χρήστες σε ψεύτικα κέρδη από λοταρίες, ενώ οι παραπλανητικές σελίδες CAPTCHA τους ενθαρρύνουν να ενεργοποιήσουν τις ειδοποιήσεις με την παραπλανητική έκκληση ‘Please Allow to verify, that you are not a robot,’ στην πραγματικότητα αυτές οι ιστοσελίδες υπάρχουν αποκλειστικά για την αποστολή διαφημίσεων spam μετά από άδεια του χρήστη.
Σε μια πρόσφατη έκθεση από το Doctor Web, αποκαλύφθηκε ότι υπάρχει μια ύπουλη οικογένεια κακόβουλου λογισμικού Linux που εκμεταλλεύεται τις ευπάθειες σε πάνω από δύο δωδεκάδες πρόσθετα και θέματα για να διεισδύσει σε ιστότοπους WordPress. Αυτή η νέα έρευνα προάγει αυτές τις ανακαλύψεις παρέχοντας περισσότερες πληροφορίες σχετικά με την κακόβουλη δραστηριότητα.
Τα τελευταία χρόνια, το Balada Injector έχει εκμεταλλευτεί πάνω από 100 domain και μια ποικιλία μεθόδων για να εκμεταλλευτεί υπάρχουσες ευπάθειες ασφαλείας (όπως HTML injection και Site URL). Οι επιτιθέμενοι στόχευαν κυρίως στην απόκτηση database credentials από το αρχείο wp-config.php.
Επιπλέον, αυτές οι κακόβουλες επιθέσεις είναι ειδικά σχεδιασμένες για να προβάλλουν ή να κατεβάζουν αρχεία ιστοτόπων, όπως αντίγραφα ασφαλείας, απορρίψεις βάσεων δεδομένων και έγγραφα καταγραφής/σφαλμάτων. Επιπλέον, οι επιτιθέμενοι αναζητούν εναπομείναντα εργαλεία όπως τα adminer και phpmyadmin, τα οποία οι διαχειριστές του ιστότοπου μπορεί να έχουν ξεχάσει μετά την ολοκλήρωση των εργασιών συντήρησης.
Το κακόβουλο λογισμικό επιτρέπει τελικά τη δημιουργία ψεύτικων χρηστών διαχειριστών του WordPress, τη συλλογή δεδομένων που είναι αποθηκευμένα στους υποκείμενους hosts και αφήνει τα backdoor για μόνιμη πρόσβαση.
Το Balada Injector πραγματοποιεί περαιτέρω ευρείες αναζητήσεις από top-level directories που σχετίζονται με το σύστημα αρχείων του παραβιασμένου ιστότοπου για να εντοπίσει “writable directories” που ανήκουν σε άλλους ιστότοπους.
Σε περίπτωση που αποδειχθεί ότι αυτά τα attack pathways δεν είναι διαθέσιμα, ο κωδικός πρόσβασης διαχειριστή γίνεται brute-forced, χρησιμοποιώντας ένα σύνολο 74 προκαθορισμένων credentials. Ως εκ τούτου, συνιστάται στους χρήστες του WordPress να διατηρούν ενημερωμένο το λογισμικό του ιστότοπού τους, να αφαιρούν plugins και θέματα που δεν χρησιμοποιούνται και να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης WordPress admin.
Μόλις λίγες εβδομάδες αφότου η Unit 42 της Palo Alto Networks ανακάλυψε μια κακόβουλη εκστρατεία injection JavaScript, τα ευρήματα αποκάλυψαν ότι περισσότεροι από 51.000 ιστότοποι έχουν επηρεαστεί από το 2022.
Η δραστηριότητα, η οποία χρησιμοποιεί επίσης το String.fromCharCode ως τεχνική obfuscation, οδηγεί τα θύματα σε σελίδες booby-trapped που τα ξεγελούν ώστε να ενεργοποιήσουν τις ειδοποιήσεις push μεταμφιέζοντας ως ψεύτικο έλεγχο CAPTCHA για την προβολή παραπλανητικού περιεχομένου.
Πηγή πληροφοριών: thehackernews.com
