11/08/23
В ходе мониторинга веб-сайтов команда исследователей угроз Cybernews обнаружила активность вредоносного ПО Balada Injector, которая направлена на сайты WordPress. В результате исследования выяснилось, что вирус маскируется и использует новые доменные имена для обхода систем безопасности. По данным PublicWWW, вирус затронул более тысячи сайтов, пишет Securitylab.
Как работает Balada Injector
В качестве отправной точки исследования послужил сайт «spatialreality[.]com». Вместо отображения главной страницы сайта посетителю предлагалось скачать PHP-файл. Файл содержал вредоносный код, который позволял удаленно получать доступ к зараженной машине и управлять рекламными кампаниями на основе переадресации.
Основные моменты кампани Balada Injector
- Balada Injector активен с 2017 года. В рассмотренном случае было замечено 7 автоматизированных атак на уязвимый сайт WordPress.
- Вредоносные скрипты загружались с различных доменов. Скрипты не только перенаправляли пользователей на сайты с сомнительной репутацией, но и пытались отслеживать пользователя, устанавливая шпионские расширения или другое ПО.
- На одном из исследуемых адресов сайт выглядел обычно, но через «favicon.ico» в браузер пользователя загружался вредоносный JavaScript-файл.
- Киберпреступники используют случайно сгенерированные домены, а также регулярно меняют их, когда старые домены обнаруживаются и помечаются как вредоносные. Все домены и поддомены, задействованные в атаке, связаны с одним и тем же субъектом угрозы.
Исследование подтверждает, что Balada Injector продолжает быть серьезной угрозой в киберпространстве, и подчеркивает необходимость постоянного мониторинга и обновления систем безопасности.
Ранее специалисты компании Sucuri заявили, что с 2017 года с помощью Balada Injector было заражено суммарно более миллиона веб-сайтов на базе WordPress. Известно, что атаки проходят волнами — раз в несколько недель.
