Эксперты опубликовали результаты расследования масштабной вредоносной кампании, которая была запущена еще в 2017 году. Атака направлена на сайты на базе WordPress и использует различные уязвимости в темах и плагинах для заражения файлов вирусом Balada Injector. По предварительным оценкам за все время были заражены более миллиона интернет-сайтов.
Первыми активность Balada Injector зафиксировали эксперты «Доктор Веб». В очередном отчете в декабре 2022 года сообщалось, что вредоносная утилита активно заражает сайты, используя более 30 уязвимостях в некоторых плагинах и темах оформления.
Особенность атак заключается в ярко выраженной периодичности – раз в месяц. При этом для каждой волны используется новое доменное имя, что позволяет обойти блокировку через черные списки. Balada Injector использует преимущественно недавно обнаруженные уязвимости, на основе которых операторы формируют собственные схемы атак. К примеру, зафиксированы инъекции в БД, HTML-инъекции и атаки на siteurl.
В случае успешной атаки вредоносное приложение старается собрать и передать на сервер конфиденциальную информацию, включая файл wp-config.php и данные для доступа к базе данных. Также осуществляется поиск журналов доступа, отладочной информации, резервные копии и другие объекты, которые могут содержать конфиденциальные данные. Это приводит к тому, что даже если владелец ресурса вычистит весь вредоносный код, у злоумышленников останется доступ к сайту.
Также Balada Injector проверяет наличие уязвимостей у инструментов для администрирования БД, например, phpMyAdmin и Adminer. Получения доступа к данным компонентам позволяет создать новых пользователей с привилегиями администраторов, что открывает широкие возможности для дальнейшей атаки.
Если вышеперечисленный способы не дают результата владельцы малвари пытаются подобрать пароль к аккаунту администратора при помощи классического брутфорса.
После получения доступа в каталог интернет-сайта добавляется несколько бекдоров, которые выполняют роль точек входа для злоумышленников. В 2020 году владельцы усложнили схему инфицирования, используя более 170 путей и постоянно меняя названия вредоносных модулей, что требовало больше усилий при удалении стороннего кода.
Специалисты отметили, что инжекторы загружены не на все взломанные ресурсы, поскольку такой масштабной сетью сложно управлять. Предпочтение отдается сайтам на виртуальных или частных серверах, которые настроены некорректно или выглядят запущенными.
На следующем этапе вредонос пытается найти другие сайты, привязанные к этой же учетной записи на сервере. В случае успеха осуществляется поиск каталогов с правами на запись для межсайтового заражения. Это значительно ускоряет скорость распространения вируса, более того, есть возможность повторно заражать уже вылеченные сайты (если сохранен доступ к VPS).
Эксперты отметили, что использование разных схем атак и постоянная их модификация не позволяет выработать единую стратегию защиты. Поэтому в первую очередь необходимо соблюдать стандартные меры защиты – использовать только проверенные темы и плагины, а также вовремя их обновлять.