Menu dostępności

Poważna luka w wordpress

Złośliwa kampania „Balada Injector” zainfekowała już ponad milion witryn na WordPressie

Z szacunków SCMedia wiemy, że w ciągu ostatnich sześciu lat już około milion witryn WordPress zostało zainfekowanych w ramach długotrwałej złośliwej kampanii, którą badacze nazywają „Balada Injector”.

Według firmy zajmującej się bezpieczeństwem stron internetowych Sucuri, działającej jako oddzielna jednostka biznesowa w GoDaddy, trwająca kampania wykorzystuje „wszystkie znane i niedawno odkryte luki w zabezpieczeniach motywów i wtyczek” w celu wstrzyknięcia linuksowego backdoora na stronach WordPress. Metoda pozwala na uzyskanie różnych poziomów dostępu, a w wielu przypadkach wykorzystane luki dają atakującemu możliwość uzyskania krytycznych informacji na temat zaatakowanych stron internetowych.

Na przestrzeni ostatnich lat podatności i możliwości zdobycia nieuprzywilejowanego dostępu do stron na WordPressie było multum. Staramy się pisać o nich na bieżąco.

Od 2017 roku kampania nieprzerwanie plasuje się w pierwszej trójce infekcji, które Sucuri wykrywa i usuwa z zaatakowanych stron. Kampania co kilka tygodni inicjuje kolejne fale ataków z wykorzystaniem nowo zarejestrowanych domen i odmian wcześniej używanego szkodliwego oprogramowania. Najnowszą falę zaobserwowano zaledwie kilka dni temu, kiedy atakujący wykorzystali lukę w zabezpieczeniach Elementor Pro WordPressa, wtyczki używanej przez ponad 11 milionów stron internetowych!

Denis Sinegubko, starszy badacz złośliwego oprogramowania w firmie GoDaddy, powiedział, że kampanię można łatwo zidentyfikować po preferowaniu zaciemniania String.fromCharCode, wykorzystywaniu nowo zarejestrowanych nazw domen zawierających złośliwe skrypty w losowych subdomenach oraz przekierowaniach do różnych fałszywych stron, w tym rzekomego wsparcia technicznego, fałszywych wygranych na loterii i złośliwych powiadomień push.

Zasięg i obszar działania złośliwej kampanii

„W samym 2022 roku nasz zewnętrzny skaner stron internetowych SiteCheck wykrył to złośliwe oprogramowanie ponad 141 000 razy, przy czym ponad 67% witryn z zablokowanymi zasobami ładowało skrypty ze znanych domen Balada Injector” — napisał Sinegubko pod koniec zeszłego tygodnia. „Obecnie mamy ponad 100 sygnatur obejmujących zarówno front-end, jak i back-end wariantów złośliwego oprogramowania wstrzykiwanego do plików serwera i baz danych WordPress”.

Hakerzy wykorzystują okresy między kolejnymi falami na opracowanie nowych procedur ataków, zwykle poprzez gromadzenie i testowanie nowych luk w zabezpieczeniach. Każda fala używa świeżo zarejestrowanej nazwy domeny, która łączy w sobie losowe angielskie słowa, np. sometimefree[.]biz czy destinyfernandi[.]com.

W ciągu ostatniego roku Balada Injector użyła ponad stu różnych nazw domen i wykorzystała szeroki zakres metod ataków, w tym ataki typu siteurl, wstrzykiwanie HTML, wstrzykiwanie SQL i wstrzykiwanie dowolnych plików, przy czym ataki często obejmowały wiele infekcji w tej samej witrynie. Starsze luki w zabezpieczeniach nie zostały usunięte natychmiast po początkowych rundach infekcji, a niektóre z nich pozostawały w użyciu przez długi czas po opublikowaniu łatek.

Aktywność po infekcji

Skrypty Balady mają na celu kradzież poświadczeń do bazy danych w plikach wp-config.php, co może pozwolić na ciągły dostęp, nawet jeśli właściciel witryny załata wcześniej wykorzystywane luki i usunie pliki backdoora. Aby uniknąć wykrycia, osoby atakujące często zmieniają listę atakowanych plików, dodając nowe i usuwając „niesprawne”.

Jeśli witryna nie została jeszcze zaatakowana, atakujący używają różnych sztuczek, żeby uzyskać zawartość pliku wp-config.php. Jeśli jest już zaatakowana, czytają ją, by zachować dane uwierzytelniające do wykorzystania w przyszłości.

Ponadto kampania próbuje uzyskać dostęp do dowolnych plików witryny, w tym archiwów kopii zapasowych, baz danych, dzienników dostępu, informacji debugowania, jednocześnie polując na narzędzia takie jak Adminer i phpMyAdmin.

Ostatecznie złośliwe oprogramowanie doprowadza do generowania fałszywych administratorów WordPress, kradnących dane z hostów i pozostawiających backdoory w celu zapewnienia dalszego dostępu.

Popularne

PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

MalwareAI, czyli złośliwe oprogramowanie oparte na sztucznej inteligencji, jest bliżej, niż oczekiwano. Odkryto pierwszą rodzinę ransomware wykorzystującą systemy sztucznej inteligencji do operacji lokalny...
Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Ciekawe informacje przynoszą badacze Microsoft. Opisali oni, w jaki sposób często omawiane przez nas ataki na AD mogą posłużyć do przejęcia całego środowiska chmurowego. Jako przykład służy Storm-0501 ...
Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Najnowsza kampania phishingowa, ujawniona przez badaczy z Check Point, koncentruje się na firmach z sektora produkcyjnego oraz innych kluczowych elementach łańcuchów dostaw. Jej szczególna złośliwość polega n...
Popularne oszustwa na WhatsAppie i jak ich uniknąć

Popularne oszustwa na WhatsAppie i jak ich uniknąć

Z ponad dwoma miliardami użytkowników WhatsApp oferuje ogromną pulę potencjalnych celów dla scamerów. Aby jeszcze bardziej skomplikować sprawę, oszuści cały czas zdobywają nowe wyrafinowane umiejętno...
Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...