Новое исследование показывает, что вредоносная программа-инжектор Balada находится в полном разгаре, компрометируя плохо защищенные сайты WordPress в Интернете и используя их для нацеливания на посетителей.
А отчет Исследователи Cybernews утверждают, что обнаружили скомпрометированный веб-сайт WordPress во время «рутинной операции веб-мониторинга».
Скомпрометированный веб-сайт, по-видимому, был атакован вредоносным ПО Balada Injector, бэкдором на базе Linux, используемым для проникновения на веб-сайты через распространенные или иным образом известные уязвимости в плагинах WordPress, темах и аналогичные уязвимости. Известно, что инжектор Balada атакует «волнами» — примерно каждый месяц инжектор придумывает новое доменное имя и код, который пытается добавить в код сайта WordPress.
волны атаки
На этом конкретном веб-сайте были добавлены семь различных экземпляров вредоносного кода, которые расположены друг над другом. Это означает, что сайт пережил семь «волн» хакерских атак. Этот код, размещенный в верхней части страницы и выполняемый до загрузки веб-сайта, предназначался для предоставления злоумышленникам удаленного доступа к зараженным компьютерам и перенаправления посетителей на различные веб-сайты с продолжающимися кампаниями вредоносной рекламы.
Когда исследователи расшифровали и изучили некоторые полезные данные PHP, обнаруженные на взломанном веб-сайте, они обнаружили URL-адреса вновь созданных конечных точек Command & Control (C2) и последующие запутанные файлы JavaScript, используемые в схеме операции. Исследователи заявили, что в общей сложности было обнаружено пять URL-адресов, которые использовались для загрузки вредоносного кода JavaScript на эксплуатируемых веб-сайтах.
Хорошей новостью для потенциальных жертв является то, что инжектор Balada не настолько совершенен, как мог бы быть. Он не проверяет, был ли вредоносный код уже добавлен на взломанные веб-сайты ранее, и из-за этого вместо того, чтобы обслуживать целевую страницу, веб-сайт принудительно загружал PHP-файл, что вызвало тревогу у исследователей и, в конце день помог хакерской кампании Discover.
