Ekspertët Sucuri kanë zbuluar sulme të reja me Balada Injector në muajt e fundit. Malware ka ekzistuar që nga viti 2017 dhe tashmë ka prekur mbi një milion sajte të WordPress. Emri rrjedh nga drejtoria e përdorur për të kopjuar klientin e shkruar në gjuhën Go dhe nga funksioni i tij kryesor, që është injektimi i kodit të infektuar, duke shfrytëzuar dobësitë në tema dhe shtojca.
Injeksione të shumta për faqet e WordPress
Balada Injector përdor lloje të ndryshme injeksionesh bazuar në cenueshmërinë. Njëra prej tyre ju lejon të injektoni HTML dhe JavaScript në tema dhe shtojca për të fituar akses në llogarinë e administratorit. Pas vjedhjes së kredencialeve të bazës së të dhënave, është e mundur të injektohet kodi në faqet e faqes, të modifikohen skedarët dhe të instalohen shtojcat e infektuara.
Në raste të tjera, skedarët arbitrarë ngarkohen dhe futen dyer të pasme PHP, JavaScript dhe HTML. Duke përdorur lloje të ndryshme sulmesh, është e mundur të goditni të njëjtin vend disa herë. Një nga dobësitë më të fundit të shfrytëzuara të shtojcës Elementor Pro. Dobësitë e vjetra ende shfrytëzohen nga Balada Injector sepse sajtet nuk janë përditësuar.
Malware mbledh shumë informacione, duke përfshirë kredencialet e bazës së të dhënave, arkivat, regjistrat e aksesit dhe skedarët me të dhëna të ndjeshme. Kriminelët kibernetikë gjithashtu përpiqen të shfrytëzojnë dobësitë në mjetet e administrimit (phpMyAdmin dhe të tjerë) për të krijuar llogari shumë të privilegjuara dhe për të përdorur “forcën brutale” për të thyer fjalëkalimet.
Më në fund, Balada Injector instalon dyer të pasme të ndryshme për të ruajtur aksesin në distancë. Të gjitha të dhënat e mbledhura dërgohen në një server C2 (komandë dhe kontroll). Për të kufizuar rreziqet, rekomandohet të instaloni versionet më të fundit të shtojcave dhe temave. Sigurisht, fjalëkalimet e forta duhet të përdoren në lidhje me vërtetimin me dy faktorë.
Discussion about this post