Balada-Injektor

Laut Sicherheitsforschern hat es eine laufende Angriffskampagne mit Malware, die als Balada Injector verfolgt wird, geschafft, über eine Million WordPress-Websites zu infizieren. Es wird angenommen, dass die böswillige Operation mindestens seit 2017 aktiv ist. Die Cyberkriminellen verwenden eine breite Palette verschiedener Techniken, um bekannte und neu entdeckte Schwachstellen in WordPress-Designs und -Plug-ins auszunutzen, um sich Zugang zu den Zielwebsites zu verschaffen.

Der von der Sicherheitsfirma Sucuri veröffentlichte Bericht über den Balada-Injektor besagt, dass alle paar Wochen neue Angriffswellen stattfinden. Es gibt mehrere charakteristische Anzeichen für diese spezielle böswillige Aktivität, einschließlich der Verwendung von String.fromCharCode-Verschleierung, der Bereitstellung von schädlichen Skripten auf neu registrierten Domänennamen und Weiterleitungen zu verschiedenen Betrugsseiten. Die infizierten Websites werden für eine Vielzahl von betrügerischen Zwecken verwendet, darunter gefälschter technischer Support, Lotteriebetrug und betrügerische CAPTCHA-Seiten, die die Benutzer auffordern, Benachrichtigungen zu aktivieren, um zu bestätigen, dass sie keine Roboter sind, wodurch die Angreifer in die Lage versetzt werden, Spam-Anzeigen zu senden.

Der Balada-Injektor nutzt zahlreiche Sicherheitslücken aus

Während der Zeit, in der sie eingesetzt wurde, hat die Balada Injector-Bedrohung auf die Verwendung von mehr als 100 Domains und verschiedenen Methoden zurückgegriffen, um bekannte Sicherheitslücken wie HTML-Injection und Site-URL auszunutzen. Das Hauptziel der Angreifer war es, Zugriff auf die in der Datei wp-config.php gespeicherten Datenbankanmeldeinformationen zu erhalten.

Darüber hinaus sind die Angriffe darauf ausgelegt, auf wichtige Site-Dateien wie Backups, Datenbank-Dumps, Protokolldateien und Fehlerdateien zuzugreifen und diese herunterzuladen. Sie suchen auch nach übriggebliebenen Tools wie adminer und phpmyadmin, die Site-Administratoren möglicherweise nach der Durchführung von Wartungsaufgaben zurückgelassen haben. Dies bietet den Angreifern eine größere Auswahl an Optionen, um die Website zu kompromittieren und sensible Daten zu stehlen.

Der Balada-Injektor bietet Cyberkriminellen Zugang durch die Hintertür

Die Balada Injector-Malware hat die Fähigkeit, betrügerische WordPress-Admin-Benutzer zu generieren, auf den zugrunde liegenden Hosts gespeicherte Daten zu sammeln und Hintertüren zu hinterlassen, die einen dauerhaften Zugriff auf das System ermöglichen.

Darüber hinaus führt Balada Injector umfangreiche Suchen in den obersten Verzeichnissen des Dateisystems der kompromittierten Website durch, um beschreibbare Verzeichnisse zu identifizieren, die zu anderen Websites gehören. In der Regel gehören diese Websites demselben Webmaster und teilen sich dasselbe Serverkonto und dieselben Dateiberechtigungen. Daher kann die Kompromittierung einer Site möglicherweise Zugriff auf mehrere andere Sites gewähren und den Angriff weiter ausweiten.

Wenn diese Methoden fehlschlagen, wird das Admin-Passwort zwangsweise über einen Satz von 74 vordefinierten Anmeldeinformationen erraten. Um diese Art von Angriffen zu verhindern, wird WordPress-Benutzern dringend empfohlen, ihre Website-Software auf dem neuesten Stand zu halten, alle nicht verwendeten Plugins und Designs zu entfernen und starke Passwörter für ihre WordPress-Administratorkonten zu verwenden.