バラダインジェクター

セキュリティ研究者によると、Balada インジェクターとして追跡されたマルウェアを配信する進行中の攻撃キャンペーンは、100 万を超える WordPress Web サイトに感染することに成功しています。この悪意のある操作は、少なくとも 2017 年から活動していると考えられています。サイバー犯罪者は、さまざまな手法を使用して、WordPress のテーマやプラグインの既知および新たに発見された脆弱性を悪用し、標的の Web サイトにアクセスできるようにします。

セキュリティ会社 Sucuri がリリースした Balada Injector の詳細を説明したレポートによると、新しい攻撃の波が数週間ごとに発生しています。 String.fromCharCode の難読化の使用、新しく登録されたドメイン名への不正なスクリプトの展開、さまざまな詐欺サイトへのリダイレクトなど、この特定の悪意のある活動にはいくつかの特徴的な兆候があります。感染した Web サイトは、偽のテクニカル サポート、宝くじ詐欺、ロボットではないことを確認するために通知をオンにするようユーザーに促す不正な CAPTCHA ページなど、さまざまな詐欺目的で使用され、攻撃者がスパム広告を送信できるようにします。

Balada インジェクターは、多数のセキュリティ上の弱点を悪用します

展開されている間、Balada Injector の脅威は、100 を超えるドメインとさまざまな方法を利用して、HTML インジェクションやサイト URL などの既知のセキュリティの弱点を悪用してきました。攻撃者の主な目的は、wp-config.php ファイルに保存されているデータベース資格情報にアクセスすることです。

さらに、攻撃は、バックアップ、データベース ダンプ、ログ ファイル、エラー ファイルなどの重要なサイト ファイルにアクセスしてダウンロードするように設計されています。また、adminer や phpmyadmin など、サイト管理者がメンテナンス タスクを実行した後に置き忘れた可能性のある残りのツールも検索します。これにより、攻撃者は Web サイトを侵害して機密データを盗むための幅広い選択肢を得ることができます。

Balada インジェクターは、サイバー犯罪者にバックドア アクセスを提供します

Balada Injector マルウェアには、不正な WordPress 管理者ユーザーを生成し、基盤となるホストに保存されているデータを収集し、システムへの永続的なアクセスを提供するバックドアを残す機能があります。

さらに、Balada Injector は、侵害された Web サイトのファイル システムの最上位ディレクトリで広範な検索を実行し、他のサイトに属する書き込み可能なディレクトリを特定します。通常、これらのサイトは同じ Web マスターによって所有され、同じサーバー アカウントとファイル アクセス許可を共有します。したがって、1 つのサイトが侵害されると、他の複数のサイトへのアクセスが可能になり、攻撃がさらに拡大する可能性があります。

これらの方法が失敗した場合、管理者パスワードは 74 の事前定義された資格情報のセットを介して強制的に推測されます。この種の攻撃を防ぐために、WordPress ユーザーは、Web サイト ソフトウェアを最新の状態に保ち、未使用のプラグインとテーマを削除し、WordPress 管理者アカウントに強力なパスワードを使用することを強くお勧めします。