بدافزار Balada Injector میلیون ها سایت وردپرس را آلوده می کند؟

این بدافزار اولین بار در سال 2017 مشاهده شد و تا کنون بیش از یک میلیون سایت دارای وردپرس را آلوده کرده است. در اینجا چیزی است که شما باید بدانید.بدافزار Balada Injector را بیشتر بشناسید.

وردپرس با حملات سایبری بیگانه نیست و اکنون از سوء استفاده دیگری رنج می برد که از طریق آن بیش از یک میلیون سایت آلوده شده اند. این کمپین مخرب با استفاده از نوعی بدافزار معروف به Balada Injector صورت گرفته است.

مبانی بدافزار تزریقی Balada

Balada Injector (برای اولین بار در گزارش Dr.Web ابداع شد) یک برنامه بدافزار است که از سال 2017، زمانی که این کمپین بزرگ آلودگی وردپرس شروع شد، مورد استفاده قرار گرفت. Balada Injector یک بدافزار پشتی مبتنی بر لینوکس است که برای نفوذ به وب سایت ها استفاده می شود.

بدافزارها و ویروس‌های Backdoor می‌توانند روش‌های معمولی ورود یا احراز هویت را دور بزنند و به مهاجم اجازه دسترسی به انتهای توسعه‌دهنده یک وب‌سایت را می‌دهند. از اینجا، مهاجم می‌تواند تغییرات غیرمجاز ایجاد کند، داده‌های گرانبها را بدزدد و حتی سایت را به طور کامل تعطیل کند.

درهای پشتی از نقاط ضعف وب سایت ها برای دسترسی غیرمجاز استفاده می کنند. بسیاری از وب‌سایت‌ها یک یا چند نقطه ضعف دارند (که به عنوان آسیب‌پذیری امنیتی نیز شناخته می‌شود)، بنابراین بسیاری از هکرها برای یافتن راهی برای ورود به آن مشکلی ندارند.

بنابراین، چگونه مجرمان سایبری توانستند با استفاده از Balada Injector بیش از یک میلیون سایت وردپرس را در معرض خطر قرار دهند؟

چگونه Balada بیش از یک میلیون سایت وردپرس را آلوده کرد؟

بدافزار Balada Injector

در آوریل 2023، شرکت امنیت سایبری Sucuri در مورد کمپین مخربی گزارش داد که از سال 2017 ردیابی می‌کرد. در پست وبلاگ Sucuri، بیان شد که در سال 2023، اسکنر SiteCheck این شرکت بیش از 140000 بار وجود Balada Injector را شناسایی کرد. یک وب سایت با استفاده از 11 نوع مختلف Balada Injector 311 بار مورد حمله قرار گرفته است.

Sucuri همچنین اظهار داشت که “بیش از 100 امضا دارد که هر دو نسخه جلویی و بک‌اند بدافزار تزریق شده به فایل‌های سرور و پایگاه‌های داده وردپرس را پوشش می‌دهند.” این شرکت متوجه شد که عفونت‌های انژکتور Balada معمولاً به صورت امواجی اتفاق می‌افتند و هر چند هفته یکبار افزایش می‌یابند.

برای آلوده کردن بسیاری از سایت‌های وردپرس، Balada Injector به طور خاص آسیب‌پذیری‌های درون مضامین و افزونه‌های پلتفرم را هدف قرار داده است. وردپرس هزاران افزونه و طیف گسترده ای از تم های رابط را برای کاربران خود ارائه می دهد که برخی از آنها در گذشته توسط هکرهای دیگر هدف قرار گرفته اند.

آنچه در اینجا بسیار جالب است این است که آسیب پذیری هایی که در کمپین Balada مورد هدف قرار گرفته اند قبلاً شناخته شده اند. برخی از این آسیب‌پذیری‌ها سال‌ها پیش شناسایی شدند، در حالی که برخی دیگر اخیراً کشف شدند. هدف Balada Injector این است که مدت‌ها پس از استقرار در سایت آلوده باقی بماند، حتی اگر افزونه مورد سوء استفاده آن به‌روزرسانی دریافت کند.

در پست وبلاگ فوق الذکر، Sucuri تعدادی از روش های عفونت مورد استفاده برای استقرار Balada را فهرست کرده است، از جمله:

. تزریق HTML

. تزریق پایگاه داده

. تزریق سایت URL

. تزریق پرونده های خودسرانه

علاوه بر این، Balada Injector از String.fromCharCode به عنوان مبهم استفاده می کند، به طوری که تشخیص آن و کشف هر گونه الگوی در تکنیک حمله برای محققان امنیت سایبری دشوارتر است.

هکرها سایت‌های وردپرس را با Balada آلوده می‌کنند تا کاربران را به صفحات کلاهبرداری هدایت کنند، مانند بخت‌آزمایی‌های جعلی، کلاهبرداری‌های اعلان‌ها، و پلتفرم‌های گزارش فناوری ساختگی. Balada همچنین می تواند اطلاعات ارزشمندی را از پایگاه داده های سایت آلوده استخراج کند.

چگونه از حملات انژکتور Balada جلوگیری کنیم

بدافزار Balada Injector

برخی از روش ها وجود دارد که می توان برای جلوگیری از انژکتور Balada از آن استفاده کرد، مانند:

. به روز رسانی منظم نرم افزار وب سایت (شامل تم ها و افزونه ها).

. انجام پاکسازی منظم نرم افزارها.

. فعال کردن احراز هویت دو مرحله ای.

. استفاده از رمزهای عبور قوی.

. محدود کردن مجوزهای مدیر سایت.

. پیاده سازی سیستم های کنترل یکپارچگی فایل.

. جدا نگه داشتن فایل های محیط توسعه محلی از فایل های سرور.

. تغییر رمزهای عبور پایگاه داده پس از هرگونه مصالحه.

انجام چنین اقداماتی می تواند به شما کمک کند تا وب سایت وردپرس خود را از Balada ایمن نگه دارید. Sucuri همچنین یک راهنمای پاکسازی وردپرس دارد که می توانید از آن برای عاری بودن سایت خود از بدافزارها استفاده کنید.

انژکتور Balada هنوز شل است

در زمان نگارش مقاله، Balada Injector هنوز در دسترس است و وب سایت ها را آلوده می کند. تا زمانی که این بدافزار به طور کامل در مسیر خود متوقف نشود، همچنان خطراتی را برای کاربران وردپرس ایجاد می کند. در حالی که شنیدن تعداد سایت‌هایی که قبلاً آلوده شده‌اند تکان‌دهنده است، اما خوشبختانه در برابر آسیب‌پذیری‌های درب پشتی و بدافزارهایی مانند Balada که از این نقص‌ها سوء استفاده می‌کند کاملاً درمانده نیستید.