พบเว็บไชต์ WordPress กว่า 1 ล้านเว็บไซต์ ติดมัลแวร์จากแคมเปญการโจมตีของ Balada Injector Malware ตั้งแต่ปี 2017
โดยทาง Doctor Web ได้เผยแพร่รายงานเกี่ยวกับมัลแวร์บน Linux ที่มีการใช้ช่องโหว่บนปลั๊กอิน และธีมของเว็บไซต์บน WordPress กว่า 20 รายการในการโจมตีเป้าหมาย
Denis Sinegubko นักวิจัยด้านความปลอดภัยทางไซเบอร์ ระบุว่าแคมเปญการโจมตีของ Balada Injector สามารถสังเกตได้จากการใช้ String.fromCharCode เพื่อนำเป้าหมายไปยังเว็บไซต์ที่เพิ่งจดทะเบียนโดเมนใหม่ ซึ่งเป็นโดเมนอันตรายที่มีการฝังมัลแวร์เอาไว้ รวมไปถึงการใช้เทคนิค CAPTCHA ปลอม เพื่อหลอกให้เหยื่อกด 'Please Allow to verify, that you are not a robot’ เมื่อเป้าหมายกดตกลง ก็จะทำให้ Hacker สามารถส่งโฆษณาที่เป็นสแปมไปยังเป้าหมายได้
โดยพบว่าในช่วงหลายปีที่ผ่านมา Balada Injector ได้ใช้โดเมนอันตรายมากกว่า 100 โดเมน และวิธีการโจมตีรูปแบบต่าง ๆ เพื่อใช้ประโยชน์จากช่องโหว่ เช่น HTML injection หรือ Site URL เพื่อเข้าถึงฐานข้อมูลที่สำคัญในไฟล์ wp-config.php รวมไปถึงการอ่าน หรือดาวน์โหลดไฟล์จากเว็บไซต์ เช่น ไฟล์ backups, ไฟล์ database dump,ไฟล์ log และไฟล์ error นอกจากนี้ยังทำการค้นหา admin tools และ phpMyAdmin ที่ผู้ดูแลเว็บไชต์อาจลืมทิ้งไว้ในระบบ
เมื่อโจมตีสำเร็จ Balada Injector ก็จะทำการสร้างบัญชีผู้ดูแลระบบของ WordPress ขึ้นมา เพื่อใช้สำหรับขโมยข้อมูลที่จัดเก็บไว้ในเว็บไซต์ รวมถึงติดตั้งแบ็คดอร์ไว้บนเว็บไซต์ที่ถูกโจมตี นอกจากนี้ Balada Injector จะทำการค้นหา top-level directory ที่เกี่ยวข้องกับระบบไฟล์ของเว็บไซต์ เพื่อค้นหาไดเร็กทอรี่ที่สามารถเข้าถึงได้ของเว็บไซต์อื่น ๆ เนื่องจากผู้ดูแลเว็บไซต์มักจะใช้บัญชีสำหรับผู้ดูแลระบบเซิร์ฟเวอร์เดียวกัน และกำหนด permission ในแบบเดียวกัน ทำให้ผู้โจมตีอาจมีสิทธิ์เข้าถึงไซต์อื่น ๆ ได้
โดยการโจมตีจะใช้การ brute-forced ไปยัง admin password โดยมีชุดรหัสกว่า 74 ชุด ในการโจมตีแบบ brute-forced แนะนำให้ผู้ดูแลเว็บไซต์ WordPress ทำการอัปเดตแพตซ์ของเว็บไซต์ให้เป็นปัจจุบันอยู่เสมอ รวมถึงการลบปลั๊กอิน และธีมที่ไม่ได้ใช้ และใช้รหัสผ่านผู้ดูแลระบบ WordPress ที่คาดเดาได้ยากต่อการโจมตี
รายงานนี้เกิดขึ้นภายหลังจากที่หน่วยงานวิจัยด้านความปลอดภัย Unit 42 ของ Palo Alto Networks ได้พบแคมเปญ JavaScript injection ที่เป็นอันตราย ซึ่งจะเปลี่ยนเส้นทางผู้เข้าใช้งานเว็บไซต์ไปยัง adware และ scam page เว็บไซต์มากกว่า 51,000 แห่ง โดยพบการโจมตีมาตั้งแต่ปี 2022
ที่มา : thehackernews