Αυτό το κακόβουλο λογισμικό εντοπίστηκε για πρώτη φορά το 2017 και έχει μολύνει πάνω από ένα εκατομμύριο ιστότοπους που εκτελούν WordPress. Εδώ είναι τι πρέπει να ξέρετε.

Το WordPress δεν είναι άγνωστο στις κυβερνοεπιθέσεις και τώρα έχει υποστεί άλλη μια εκμετάλλευση, μέσω της οποίας έχουν μολυνθεί πάνω από ένα εκατομμύριο ιστότοποι. Αυτή η κακόβουλη καμπάνια πραγματοποιήθηκε χρησιμοποιώντας ένα είδος κακόβουλου λογισμικού γνωστό ως Balada Injector. Πώς όμως λειτουργεί αυτό το κακόβουλο λογισμικό και πώς κατάφερε να μολύνει πάνω από ένα εκατομμύριο ιστότοπους WordPress;

Τα βασικά του Malada Injector Malware

Balada Injector (επινοήθηκε για πρώτη φορά τέτοιο στο α Έκθεση Web του Dr) είναι ένα πρόγραμμα κακόβουλου λογισμικού που χρησιμοποιείται από το 2017, όταν ξεκίνησε αυτή η τεράστια εκστρατεία μόλυνσης του WordPress. Το Balada Injector είναι ένα κακόβουλο λογισμικό backdoor που βασίζεται σε Linux και χρησιμοποιείται για διείσδυση σε ιστότοπους.

Backdoor κακόβουλο λογισμικό και ιοί μπορεί να παρακάμψει τυπικές μεθόδους σύνδεσης ή ελέγχου ταυτότητας, επιτρέποντας στον εισβολέα να έχει πρόσβαση στο άκρο του προγραμματιστή ενός ιστότοπου. Από εδώ, ο εισβολέας μπορεί να κάνει μη εξουσιοδοτημένες αλλαγές, να κλέψει πολύτιμα δεδομένα και ακόμη και να κλείσει εντελώς τον ιστότοπο.

instagram viewer

Τα backdoors εκμεταλλεύονται τις αδυναμίες σε ιστότοπους για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση. Πολλοί ιστότοποι εκεί έξω έχουν μία ή περισσότερες αδυναμίες (γνωστές και ως ευπάθειες ασφαλείας), έτσι πολλοί χάκερ δεν δυσκολεύονται να βρουν τρόπο να εισέλθουν.

Λοιπόν, πώς κατάφεραν οι εγκληματίες του κυβερνοχώρου να παραβιάσουν πάνω από ένα εκατομμύριο ιστότοπους WordPress χρησιμοποιώντας το Balada Injector;

Πώς προσέβαλε το Balada πάνω από ένα εκατομμύριο ιστότοπους WordPress;

Τον Απρίλιο του 2023, η εταιρεία κυβερνοασφάλειας Sucuri ανέφερε μια κακόβουλη εκστρατεία που παρακολουθούσε από το 2017. Στο Ανάρτηση ιστολογίου Sucuri, αναφέρθηκε ότι, το 2023, ο σαρωτής SiteCheck της εταιρείας εντόπισε την παρουσία του Balada Injector πάνω από 140.000 φορές. Ένας ιστότοπος βρέθηκε να έχει δεχτεί επίθεση 311 φορές, χρησιμοποιώντας 11 διαφορετικές παραλλαγές του Balada Injector.

Η Sucuri δήλωσε επίσης ότι έχει «περισσότερες από 100 υπογραφές που καλύπτουν παραλλαγές τόσο στο front-end όσο και στο back-end του κακόβουλου λογισμικού που εισάγεται σε αρχεία διακομιστή και βάσεις δεδομένων WordPress." Η εταιρεία παρατήρησε ότι οι μολύνσεις από το Balada Injector συνήθως λαμβάνουν χώρα σε κύματα, αυξάνοντας τη συχνότητα κάθε λίγες εβδομάδες.

Για να μολύνει τόσους πολλούς ιστότοπους WordPress, το Balada Injector στόχευσε συγκεκριμένα τρωτά σημεία στα θέματα και τις προσθήκες της πλατφόρμας. Το WordPress προσφέρει χιλιάδες πρόσθετα για τους χρήστες του και ένα ευρύ φάσμα θεμάτων διεπαφής, μερικά από τα οποία έχουν στοχοποιηθεί από άλλους χάκερ στο παρελθόν.

Αυτό που είναι ιδιαίτερα ενδιαφέρον εδώ είναι ότι τα τρωτά σημεία που στοχεύονται στην καμπάνια Balada είναι ήδη γνωστά. Ορισμένα από αυτά τα τρωτά σημεία αναγνωρίστηκαν πριν από χρόνια, ενώ άλλα ανακαλύφθηκαν μόλις πρόσφατα. Ο στόχος του Balada Injector είναι να παραμείνει παρόν στον μολυσμένο ιστότοπο για πολύ καιρό μετά την ανάπτυξή του, ακόμα κι αν το πρόσθετο που εκμεταλλεύτηκε λάβει ενημέρωση.

Στην προαναφερθείσα ανάρτηση ιστολογίου, ο Sucuri απαρίθμησε έναν αριθμό μεθόδων μόλυνσης που χρησιμοποιούνται για την ανάπτυξη του Balada, όπως:

  • Ενέσεις HTML.
  • Ενέσεις βάσεων δεδομένων.
  • Ενέσεις SiteURL.
  • Αυθαίρετες ενέσεις αρχείων.

Επιπλέον, το Balada Injector χρησιμοποιεί το String.fromCharCode ως συσκότιση, έτσι ώστε να είναι πιο δύσκολο για τους ερευνητές της κυβερνοασφάλειας να το εντοπίσουν και να εντοπίσουν τυχόν μοτίβα στην τεχνική επίθεσης.

Οι χάκερ μολύνουν ιστότοπους WordPress με το Balada για να ανακατευθύνουν τους χρήστες σε σελίδες απάτης, όπως ψεύτικες λοταρίες, απάτες ειδοποιήσεων και πλατφόρμες πλαστών αναφορών τεχνολογίας. Το Balada μπορεί επίσης να διεισδύσει πολύτιμες πληροφορίες από μολυσμένες βάσεις δεδομένων τοποθεσιών.

Πώς να αποφύγετε τις επιθέσεις του Balada Injector

Υπάρχουν ορισμένες πρακτικές που μπορεί κανείς να χρησιμοποιήσει για να αποφύγει το Balada Injector, όπως:

  • Τακτική ενημέρωση λογισμικού ιστότοπου (συμπεριλαμβανομένων θεμάτων και προσθηκών).
  • Διενέργεια τακτικών καθαρισμών λογισμικού.
  • Ενεργοποιητικός έλεγχος ταυτότητας δύο παραγόντων.
  • Χρησιμοποιώντας ισχυρούς κωδικούς πρόσβασης.
  • Περιορισμός δικαιωμάτων διαχειριστή ιστότοπου.
  • Εφαρμογή συστημάτων ελέγχου ακεραιότητας αρχείων.
  • Διατήρηση των αρχείων περιβάλλοντος τοπικής ανάπτυξης ξεχωριστά από τα αρχεία διακομιστή.
  • Αλλαγή κωδικών πρόσβασης βάσης δεδομένων μετά από οποιονδήποτε συμβιβασμό.

Η λήψη τέτοιων βημάτων μπορεί να σας βοηθήσει να διατηρήσετε τον ιστότοπό σας WordPress ασφαλή από το Balada. Το Sucuri έχει επίσης ένα Οδηγός εκκαθάρισης WordPress που μπορείτε να χρησιμοποιήσετε για να διατηρήσετε τον ιστότοπό σας απαλλαγμένο από κακόβουλο λογισμικό.

Το Balada Injector είναι ακόμα χαλαρό

Τη στιγμή της γραφής, το Balada Injector είναι ακόμα εκεί έξω και μολύνει ιστότοπους. Μέχρι να σταματήσει πλήρως αυτό το κακόβουλο λογισμικό, συνεχίζει να αποτελεί κίνδυνο για τους χρήστες του WordPress. Αν και είναι σοκαριστικό να ακούς πόσους ιστότοπους έχει ήδη μολυνθεί, ευτυχώς δεν είσαι εντελώς αβοήθητος απέναντι σε τρωτά σημεία του backdoor και κακόβουλο λογισμικό όπως το Balada που εκμεταλλεύεται αυτά τα ελαττώματα.