Akira Ransomware: Προκαλεί ανησυχία στη Φινλανδία το κακόβουλο λογισμικό
15 Ιανουαρίου, 2024Στις 45 δισ. ημερησίως οι απόπειρες χάκινγκ στη JPMorgan
17 Ιανουαρίου, 2024Τον Σεπτέμβριο, η εταιρεία ερευνών Sucuri ανακοίνωσε ότι περισσότερα από 17.000 ιστότοποι WordPress είχαν παραβιαστεί με το Balada Injector.
Αυτή η οικογένεια κακόβουλου λογισμικού είναι ενεργή από το 2017 και υποστηρίζει πολλαπλούς τύπους επιθέσεων και μηχανισμούς επιμονής. Το κακόβουλο λογισμικό ανακαλύφθηκε για πρώτη φορά τον Δεκέμβριο του 2022 από την εταιρεία AV Doctor Web.
Οι επιθέσεις αυξήθηκαν σημαντικά τον Σεπτέμβριο, με περισσότερους από 17.000 ιστότοπους να έχουν παραβιαστεί. Σύμφωνα με την Sucuri, οι χάκερς επικεντρώθηκαν σε ευάλωτα θέματα premium, εκμεταλλευόμενοι τις ευπάθειες στο θέμα tagDiv.
Μεγάλη σημασία είχε επίσης η αναφορά του WPScan στις 11 Δεκεμβρίου για μια ευπάθεια XSS στο Popup Builder. Αυτή η ευπάθεια επιτρέπει σε κακόβουλους χρήστες να πραγματοποιούν κακόβουλες ενέργειες.
Τον Δεκέμβριο, η καμπάνια Balada Injector χρησιμοποίησε παλαιότερες εκδόσεις του Popup Builder για επιθέσεις, ενώ το PublicWWW εντόπισε το κακόβουλο λογισμικό σε πάνω από 7100 ιστότοπους.
Οι επιθέσεις εκμεταλλεύονται ευπάθειες που είναι ήδη αποθηκευμένες, εγκαθιστώντας κακόβουλο λογισμικό και δημιουργώντας μια δεύτερη φάση επίθεσης μέσω ενός κακόβουλου domain.
Το αποθηκευμένο φορτίο αποτελεί μια πύλη που αποθηκεύεται στο αρχείο sasas στον προσωρινό κατάλογο του συστήματος. Στη συνέχεια, το αρχείο εκτελείται και διαγράφεται από τον δίσκο. Το αρχείο sasas είναι υπεύθυνο για τη δευτερογενή μόλυνση. Ελέγχει έως και 3 επίπεδα πάνω από τον τρέχοντα κατάλογο, αναζητώντας τον ριζικό κατάλογο του τρέχοντος ιστότοπου καθώς και άλλους ιστότοπους που μπορεί να μοιράζονται τον ίδιο λογαριασμό διακομιστή.
Αυτό είναι το συμπέρασμα της έκθεσης. Στη συνέχεια, σε καταλόγους ρίζας που βρέθηκαν στον ιστότοπο, τροποποιείται το αρχείο wp-blog-header.php για να εισάγει το ίδιο κακόβουλο λογισμικό Balada JavaScript που αρχικά εισήχθη μέσω της ευπάθειας του Αναδυόμενου Προγράμματος.
Η εταιρεία Sucuri παρακολουθεί την εξέλιξη των επιθέσεων και συνιστά την αφαίρεση του κακόβουλου λογισμικού από τη διεπαφή διαχείρισης του WordPress.