Овај малвер је први пут примећен 2017. године и заразио је преко милион сајтова који користе ВордПресс. Ево шта треба да знате.

ВордПресс-у нису странци сајбер напади, и сада је претрпео још један експлоатацију, кроз који је заражено преко милион сајтова. Ова злонамерна кампања се одвијала помоћу неке врсте малвера познатог као Балада Ињецтор. Али како овај малвер функционише и како је успео да зарази преко милион ВордПресс сајтова?

Основе малвера Балада Ињецтор

Балада ињектор (први је такав скован у а Извештај др Веб) је програм малвера који се користи од 2017. године, када је почела ова огромна кампања заразе ВордПресс-ом. Балада Ињецтор је позадински малвер заснован на Линук-у који се користи за инфилтрирање веб локација.

Бацкдоор злонамерни софтвер и вируси може заобићи типичне методе пријављивања или аутентификације, омогућавајући нападачу да приступи страни програмера веб локације. Одавде, нападач може да изврши неовлашћене промене, украде драгоцене податке, па чак и потпуно угаси сајт.

instagram viewer

Бацкдоорс искоришћавају слабости на веб локацијама како би добили неовлашћени приступ. Многе веб локације имају једну или више слабости (познате и као безбедносне пропусте), тако да многим хакерима није тешко да пронађу пут.

Дакле, како су сајбер криминалци успели да компромитују преко милион ВордПресс сајтова користећи Балада Ињецтор?

Како је Балада заразио преко милион ВордПресс сајтова?

У априлу 2023, фирма за сајбер безбедност Суцури известила је о злонамерној кампањи коју је пратила од 2017. У Суцури блог пост, наведено је да је 2023. године скенер компаније СитеЦхецк открио присуство Балада Ињецтор-а преко 140.000 пута. Утврђено је да је једна веб локација нападнута шокантних 311 пута користећи 11 различитих варијација Балада Ињецтор-а.

Суцури је такође навео да има „више од 100 потписа који покривају и фронт-енд и бацк-енд варијације малвера убаченог у фајлове сервера и базе података ВордПресс." Фирма је приметила да се инфекције Балада Ињецтор-ом обично одвијају у таласима, са порастом учесталости сваких неколико недеља.

Да би заразио толико много ВордПресс сајтова, Балада Ињецтор је посебно циљао рањивости у оквиру тема и додатака платформе. ВордПресс нуди хиљаде додатака за своје кориснике и широк спектар тема интерфејса, од којих су неке биле на мети других хакера у прошлости.

Оно што је овде посебно интересантно је да се већ зна о рањивостима које су циљане у кампањи Балада. Неке од ових рањивости су признате пре много година, док су друге откривене тек недавно. Циљ Балада Ињецтор-а је да остане присутан на зараженом сајту дуго након што се постави, чак и ако додатак који је експлоатисао добије ажурирање.

У горе поменутом блог посту, Суцури је навео бројне методе инфекције које се користе за постављање Баладе, укључујући:

  • ХТМЛ ињекције.
  • Ињекције базе података.
  • СитеУРЛ ињекције.
  • Произвољне ињекције датотека.

Поврх овога, Балада Ињецтор користи Стринг.фромЦхарЦоде као замагљивање, тако да је истраживачима сајбер безбедности теже да га открију и примете било које обрасце унутар технике напада.

Хакери инфицирају ВордПресс сајтове са Баладом како би преусмерили кориснике на странице за преваре, као што су лажне лутрије, преваре са обавештењима и лажне платформе за технолошке извештаје. Балада такође може да извуче вредне информације из база података заражених сајтова.

Како избећи нападе Балада ињектора

Постоје неке праксе које можете применити да бисте избегли Балада Ињецтор, као што су:

  • Редовно ажурирање софтвера веб локације (укључујући теме и додатке).
  • Редовно чишћење софтвера.
  • Активирање двофакторска аутентификација.
  • Користећи јаке лозинке.
  • Ограничавање дозвола администратора сајта.
  • Имплементација система контроле интегритета датотека.
  • Чување датотека локалног развојног окружења одвојено од датотека сервера.
  • Промена лозинки базе података након било каквог компромиса.

Предузимање таквих корака може вам помоћи да своју ВордПресс веб локацију заштитите од Баладе. Суцури такође има а Водич за чишћење ВордПресс-а које можете да користите да бисте заштитили своју веб локацију од малвера.

Балада Ињецтор је још увек на слободи

У време писања овог текста, Балада Ињецтор је још увек тамо и инфицира веб странице. Све док се овај злонамерни софтвер у потпуности не заустави, он и даље представља ризик за кориснике Вордпреса. Иако је шокантно чути колико је сајтова већ заражено, на срећу нисте потпуно беспомоћни против бацкдоор рањивости и малвера као што је Балада који искоришћава те недостатке.