תוכנה זדונית זו אותרה לראשונה בשנת 2017, והמשיכה להדביק למעלה ממיליון אתרים שבהם פועל וורדפרס. הנה מה שאתה צריך לדעת.

וורדפרס אינה זרה למתקפות סייבר, וכעת היא סבלה מניצול נוסף, שדרכו נדבקו למעלה ממיליון אתרים. מסע פרסום זדוני זה התרחש באמצעות סוג של תוכנה זדונית המכונה Balada Injector. אבל איך התוכנה הזדונית הזו עובדת, ואיך היא הצליחה להדביק למעלה ממיליון אתרי וורדפרס?

היסודות של Balada Injector Malware

Balada Injector (נטבע כזה לראשונה ב-a דו"ח ד"ר אינטרנט) היא תוכנית תוכנה זדונית שנמצאת בשימוש מאז 2017, אז החל מסע ההדבקה העצום הזה של וורדפרס. Balada Injector הוא תוכנה זדונית מבוססת לינוקס בדלת אחורית המשמשת לחדירת אתרים.

תוכנות זדוניות ווירוסים בדלת אחורית יכול לעקוף שיטות התחברות או אימות טיפוסיות, ולאפשר לתוקף לגשת לקצה המפתח של אתר אינטרנט. מכאן, התוקף יכול לבצע שינויים לא מורשים, לגנוב נתונים יקרים ואפילו לסגור את האתר לחלוטין.

דלתות אחוריות מנצלות חולשות באתרי אינטרנט כדי לקבל גישה לא מורשית. לאתרים רבים בחוץ יש חולשה אחת או יותר (הידועה גם בשם פרצות אבטחה), ולכן האקרים רבים לא מתקשים למצוא דרך להיכנס.

instagram viewer

אז איך הצליחו פושעי סייבר להתפשר על יותר ממיליון אתרי וורדפרס באמצעות Balada Injector?

איך בלדה הדביק למעלה ממיליון אתרי וורדפרס?

באפריל 2023, חברת אבטחת הסייבר Sucuri דיווחה על קמפיין זדוני שאחריה עקבה מאז 2017. בתוך ה פוסט בבלוג של Sucuri, צוין כי בשנת 2023, סורק SiteCheck של החברה זיהה את נוכחותו של Balada Injector יותר מ-140,000 פעמים. אתר אחד נמצא שהותקף 311 פעמים מזעזעות באמצעות 11 וריאציות שונות של Balada Injector.

Sucuri גם הצהירה כי יש לה "יותר מ-100 חתימות המכסות גם וריאציות חזיתיות וגם עורפיות של התוכנה הזדונית שהוזרקה לקבצי שרת ומסדי נתונים של וורדפרס." החברה הבחינה כי ההדבקות ב-Balada Injector מתרחשות בדרך כלל בגלים, ועולות בתדירות כל כמה שבועות.

כדי להדביק כל כך הרבה אתרי וורדפרס, Balada Injector כיוון במיוחד לפגיעויות בתוך ערכות הנושא והתוספים של הפלטפורמה. וורדפרס מציעה אלפי תוספים למשתמשים שלה, ומגוון רחב של ערכות נושא של ממשקים, שחלקן כוונו בעבר על ידי האקרים אחרים.

מה שמעניין במיוחד כאן הוא שהחולשות שממוקדות בקמפיין Balada כבר ידועות. חלק מהחולשות הללו הוכרו לפני שנים, בעוד שאחרות התגלו רק לאחרונה. המטרה של Balada Injector היא להישאר נוכחת באתר הנגוע זמן רב לאחר פריסתו, גם אם התוסף שניצל יקבל עדכון.

בפוסט הבלוג הנ"ל, Sucuri מנה מספר שיטות זיהום המשמשות לפריסת Balada, כולל:

  • הזרקות HTML.
  • הזרקות מסדי נתונים.
  • הזרקות SiteURL.
  • הזרקות קבצים שרירותיות.

נוסף על כך, Balada Injector משתמש ב-String.fromCharCode בתור ערפול כך שקשה יותר לחוקרי אבטחת סייבר לזהות אותו ולהבין דפוסים כלשהם בטכניקת ההתקפה.

האקרים מדביקים את אתרי וורדפרס ב-Balada כדי להפנות משתמשים לדפי הונאה, כגון הגרלות מזויפות, הונאות הודעות ופלטפורמות דיווחים טכניים מזויפים. Balada יכול גם לסנן מידע בעל ערך ממאגרי מידע נגועים באתר.

כיצד להימנע מהתקפות מזרק בלדה

יש כמה שיטות שאפשר להשתמש כדי להימנע מ- Balada Injector, כגון:

  • עדכון שוטף של תוכנת האתר (כולל ערכות נושא ותוספים).
  • ביצוע ניקוי שוטף של תוכנה.
  • מפעיל אימות דו-גורמי.
  • באמצעות סיסמאות חזקות.
  • הגבלת הרשאות מנהל האתר.
  • הטמעת מערכות בקרת שלמות קבצים.
  • שמירה על קבצי סביבת פיתוח מקומיים נפרדים מקבצי שרת.
  • שינוי סיסמאות מסד נתונים לאחר כל פשרה.

נקיטת צעדים כאלה יכולה לעזור לך לשמור על אתר וורדפרס שלך בטוח מפני Balada. לסוקרי יש גם א מדריך לניקוי וורדפרס שבו אתה יכול להשתמש כדי לשמור על האתר שלך נקי מתוכנות זדוניות.

מזרק בלדה עדיין משוחרר

בזמן כתיבת שורות אלה, Balada Injector עדיין שם בחוץ ומדביק אתרים. עד שתוכנה זדונית זו תיעצר במלואה, היא ממשיכה להוות סיכון למשתמשי וורדפרס. למרות שזה מזעזע לשמוע כמה אתרים זה כבר נגוע, למרבה המזל, אתה לא חסר אונים לחלוטין מול פגיעויות בדלת אחורית ותוכנות זדוניות כמו Balada שמנצלת את הפגמים האלה.