-->
الصفحة الرئيسية

أكثر من مليون موقع WordPress أصيبت بحملة Balada Injector Malware

 


تشير التقديرات إلى إصابة أكثر من مليون موقع WordPress من خلال حملة مستمرة لنشر برامج ضارة تسمى Balada Injector منذ عام 2017 .

الحملة الضخمة ، وفقًا لـ GoDaddy's Sucuri ، "تستفيد من جميع الثغرات المعروفة والمكتشفة مؤخرًا في السمات والمكونات الإضافية" لاختراق مواقع WordPress. ومن المعروف أن الهجمات تحدث في موجات مرة كل بضعة أسابيع.

قال الباحث الأمني ​​دينيس سينيجوبكو : "يمكن التعرف بسهولة على هذه الحملة من خلال تفضيلها للتشويش على String.fromCharCode ، واستخدام أسماء النطاقات المسجلة حديثًا التي تستضيف نصوصًا ضارة على نطاقات فرعية عشوائية ، وإعادة التوجيه إلى مواقع احتيال مختلفة" .

تتضمن مواقع الويب دعمًا تقنيًا مزيفًا ، وربح يانصيب احتيالي ، وصفحات كابتشا خادعة تحث المستخدمين على تشغيل الإخطارات إلى "الرجاء السماح بالتحقق ، بأنك لست روبوتًا" ، وبالتالي تمكين الممثلين من إرسال إعلانات غير مرغوب فيها.

يعتمد التقرير على النتائج الأخيرة التي توصل إليها موقع Doctor Web ، والتي توضح بالتفصيل عائلة البرامج الضارة في Linux التي تستغل العيوب في أكثر من عشرين مكونًا إضافيًا وموضوعًا لاختراق مواقع WordPress الضعيفة.

في السنوات المؤقتة ، اعتمد Balada Injector على أكثر من 100 مجال ومجموعة كبيرة من الأساليب للاستفادة من العيوب الأمنية المعروفة (على سبيل المثال ، حقن HTML وعنوان URL للموقع ) ، حيث يحاول المهاجمون في المقام الأول الحصول على بيانات اعتماد قاعدة البيانات في wp-config. php.

بالإضافة إلى ذلك ، تم تصميم الهجمات لقراءة أو تنزيل ملفات المواقع التعسفية - بما في ذلك النسخ الاحتياطية ، وتفريغ قواعد البيانات ، وملفات السجل والأخطاء - بالإضافة إلى البحث عن أدوات مثل adminer و phpmyadmin التي كان من الممكن أن يتركها مسؤولو الموقع وراءهم عند إكمال مهام الصيانة.


تسمح البرامج الضارة في النهاية بتوليد مستخدمين مزيفين في WordPress ، وتحصد البيانات المخزنة في المضيفين الأساسيين ، وتترك الأبواب الخلفية للوصول المستمر.

يقوم Balada Injector بإجراء عمليات بحث واسعة النطاق من الدلائل عالية المستوى المرتبطة بنظام ملفات موقع الويب المخترق لتحديد موقع الدلائل القابلة للكتابة التي تنتمي إلى مواقع أخرى.

قال Sinegubko: "الأكثر شيوعًا ، تنتمي هذه المواقع إلى مشرف الموقع المخترق وكلها تشترك في نفس حساب الخادم وأذونات الملف نفسها". "بهذه الطريقة ، يمكن أن يؤدي اختراق موقع واحد فقط إلى منح حق الوصول إلى العديد من المواقع الأخرى مجانًا."

في حالة عدم توفر مسارات الهجوم هذه ، يتم فرض كلمة مرور المسؤول باستخدام مجموعة من 74 من بيانات الاعتماد المحددة مسبقًا. لذلك ، يُنصح مستخدمو WordPress بالحفاظ على برامج موقع الويب الخاصة بهم محدثة ، وإزالة المكونات الإضافية والسمات غير المستخدمة ، واستخدام كلمات مرور قوية لمسؤول WordPress.

تأتي هذه النتائج بعد أسابيع من كشف Palo Alto Networks Unit 42 عن حملة حقن جافا سكريبت ضارة مماثلة تعيد توجيه زوار الموقع إلى صفحات البرامج الإعلانية والاحتيال. تأثر أكثر من 51000 موقع على شبكة الإنترنت منذ عام 2022.

هذا النشاط ، الذي يستخدم أيضًا String.fromCharCode كأسلوب تشويش ، يقود الضحايا إلى صفحات مفخخة تخدعهم لتمكين دفع الإخطارات عن طريق التنكر في شكل فحص CAPTCHA مزيف لتقديم محتوى مخادع.

وقال باحثو الوحدة 42 "رمز JS الخبيث المحقون تم تضمينه على الصفحة الرئيسية لأكثر من نصف المواقع المكتشفة" "أحد الأساليب الشائعة التي استخدمها مشغلو الحملة هو إدخال كود JS ضار على أسماء ملفات JS المستخدمة كثيرًا (على سبيل المثال ، jQuery) والتي من المحتمل أن يتم تضمينها في الصفحات الرئيسية لمواقع الويب المخترقة."

"من المحتمل أن يساعد هذا المهاجمين في استهداف المستخدمين الشرعيين لموقع الويب ، حيث من المرجح أن يزوروا الصفحة الرئيسية للموقع."

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة