/ / “Balada Injector” đang lây nhiễm hàng triệu trang web WordPress là gì?

“Balada Injector” đang lây nhiễm hàng triệu trang web WordPress là gì?

WordPress không xa lạ gì với các cuộc tấn công mạng và hiện đã phải chịu một cách khai thác khác, qua đó hơn một triệu trang web đã bị lây nhiễm. Chiến dịch độc hại này đã diễn ra bằng cách sử dụng một loại phần mềm độc hại được gọi là Balada Injector. Nhưng phần mềm độc hại này hoạt động như thế nào và làm cách nào nó quản lý để lây nhiễm hơn một triệu trang web WordPress?


Khái niệm cơ bản về phần mềm độc hại Balada Injector

Balada Injector (lần đầu tiên được đặt ra như vậy trong báo cáo của Dr.Web) là một chương trình phần mềm độc hại đã được sử dụng từ năm 2017, khi chiến dịch lây nhiễm WordPress khổng lồ này bắt đầu. Balada Injector là một phần mềm độc hại cửa sau dựa trên Linux được sử dụng để xâm nhập vào các trang web.

Phần mềm độc hại và vi-rút backdoor có thể bỏ qua các phương thức đăng nhập hoặc xác thực thông thường, cho phép kẻ tấn công truy cập vào phần cuối của nhà phát triển trang web. Từ đây, kẻ tấn công có thể thực hiện các thay đổi trái phép, đánh cắp dữ liệu quý giá và thậm chí đóng cửa hoàn toàn trang web.

Backdoor khai thác điểm yếu trong các trang web để truy cập trái phép. Nhiều trang web ngoài kia có một hoặc nhiều điểm yếu (còn được gọi là lỗ hổng bảo mật), vì vậy nhiều tin tặc không gặp khó khăn gì trong việc tìm cách xâm nhập.

Vậy, tội phạm mạng đã làm cách nào để xâm nhập hơn một triệu trang web WordPress bằng cách sử dụng Balada Injector?

Balada đã lây nhiễm hơn một triệu trang web WordPress như thế nào?

cảnh báo phần mềm độc hại màu đỏ trên máy tính xách tay

Vào tháng 4 năm 2023, công ty an ninh mạng Sucuri đã báo cáo về một chiến dịch độc hại mà họ đã theo dõi từ năm 2017. Trong bài đăng trên blog của Sucuri, có tuyên bố rằng, vào năm 2023, máy quét SiteCheck của công ty đã phát hiện sự hiện diện của Balada Injector hơn 140.000 lần. Một trang web được phát hiện đã bị tấn công 311 lần gây sốc bằng cách sử dụng 11 biến thể khác nhau của Balada Injector.

Sucuri cũng tuyên bố rằng nó có “hơn 100 chữ ký bao gồm cả các biến thể mặt trước và mặt sau của phần mềm độc hại được đưa vào các tệp máy chủ và cơ sở dữ liệu WordPress.” Công ty nhận thấy rằng việc lây nhiễm Balada Injector thường diễn ra theo đợt, tần suất tăng đột biến sau mỗi vài tuần.

Để lây nhiễm rất nhiều trang web WordPress, Balada Injector đã nhắm mục tiêu cụ thể vào các lỗ hổng trong các chủ đề và plugin của nền tảng. WordPress cung cấp hàng nghìn plugin cho người dùng và một loạt các chủ đề giao diện, một số trong số đó đã từng là mục tiêu của các tin tặc khác trong quá khứ.

Điều đặc biệt thú vị ở đây là các lỗ hổng được nhắm mục tiêu trong chiến dịch Balada đã được biết đến. Một số lỗ hổng này đã được thừa nhận từ nhiều năm trước, trong khi những lỗ hổng khác chỉ mới được phát hiện gần đây. Mục tiêu của Balada Injector là duy trì hiện diện trên trang web bị nhiễm một thời gian dài sau khi nó được triển khai, ngay cả khi plugin mà nó khai thác nhận được bản cập nhật.

Trong bài đăng trên blog nói trên, Sucuri đã liệt kê một số phương pháp lây nhiễm được sử dụng để triển khai Balada, bao gồm:

  • tiêm HTML.
  • Tiêm cơ sở dữ liệu.
  • Tiêm SiteURL.
  • Tiêm tập tin tùy ý.

Ngoài ra, Balada Injector sử dụng String.fromCharCode như một phương thức che giấu để các nhà nghiên cứu an ninh mạng khó phát hiện ra nó hơn và chọn bất kỳ mẫu nào trong kỹ thuật tấn công.

Tin tặc đang lây nhiễm Balada cho các trang web WordPress để chuyển hướng người dùng đến các trang lừa đảo, chẳng hạn như xổ số giả, lừa đảo thông báo và nền tảng báo cáo công nghệ giả mạo. Balada cũng có thể lọc thông tin có giá trị từ cơ sở dữ liệu trang web bị nhiễm.

Làm thế nào để tránh các cuộc tấn công của Balada Injector

Một người đàn ông ngồi cạnh logo an ninh mạng

Có một số thực hành người ta có thể sử dụng để tránh Balada Injector, chẳng hạn như:

  • Thường xuyên cập nhật phần mềm trang web (bao gồm cả chủ đề và plugin).
  • Tiến hành dọn dẹp phần mềm thường xuyên.
  • Kích hoạt xác thực hai yếu tố.
  • Sử dụng mật khẩu mạnh.
  • Giới hạn quyền của quản trị viên trang web.
  • Triển khai các hệ thống kiểm soát tính toàn vẹn của tệp.
  • Giữ các tệp môi trường phát triển cục bộ tách biệt với các tệp máy chủ.
  • Thay đổi mật khẩu cơ sở dữ liệu sau bất kỳ thỏa hiệp nào.

Thực hiện các bước như vậy có thể giúp bạn giữ an toàn cho trang web WordPress của mình khỏi Balada. Sucuri cũng có hướng dẫn dọn dẹp WordPress mà bạn có thể sử dụng để giữ cho trang web của mình không có phần mềm độc hại.

Đầu phun Balada vẫn còn lỏng lẻo

Tại thời điểm viết bài này, Balada Injector vẫn còn tồn tại và lây nhiễm các trang web. Cho đến khi phần mềm độc hại này bị chặn hoàn toàn, nó vẫn tiếp tục gây rủi ro cho người dùng WordPress. Mặc dù thật sốc khi biết có bao nhiêu trang web đã bị lây nhiễm, nhưng may mắn thay, bạn không hoàn toàn bất lực trước các lỗ hổng cửa hậu và phần mềm độc hại như Balada khai thác những lỗ hổng đó.

Bài viết liên quan:

  1. StormX là gì và nó có thực sự trả tiền điện tử cho bạn để mua sắm trực tuyến không?
  2. 10 Phải có các tiện ích mở rộng GNOME Shell để tùy chỉnh máy tính để bàn Linux của bạn vào năm 2022
  3. Cách thay thế nhà cung cấp dịch vụ của bạn trên Android bằng các công cụ hoàn toàn nguồn mở này
  4. 6 chiếc iPhone kém ấn tượng nhất mọi thời đại

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *