Der Balada Injector WordPress Kompromiss
In der sich ständig weiterentwickelnden Welt der Cybersicherheit ist Wachsamkeit entscheidend für den Schutz Ihrer Website. Eine kürzlich aufgetretene Bedrohung, bekannt als Balada Injector, hat einen dunklen Schatten auf WordPress geworfen und im letzten Monat mehr als 17.000 Websites kompromittiert. Dieser Blog-Beitrag befasst sich mit den Details der Balada Injector WordPress Kompromissdie Auswirkungen und vor allem, wie Sie Ihre WordPress-Website vor dieser Bedrohung schützen können.
Balada Injector WordPress Compromise: Ein Überblick
Der Balada Injector ist zwar kein bekannter Name, hat aber dennoch großen Einfluss auf die WordPress-Community. Dr. Web entdeckte diese Cyber-Aktivität im Dezember 2022. Balada Injector injiziert eine Backdoor in Linux-Computer, indem er bekannte Schwachstellen in Premium-Theme-Plugins ausnutzt. Diese bösartige Hintertür leitet Website-Besucher auf falsche technische Support-Seiten, gefälschte Lotteriegewinne und Push-Benachrichtigungs-Betrug um.
Diese Operation hat Fragen über ihre Natur aufgeworfen: Ist sie Teil einer breiteren Betrugskampagne oder ein Dienst, der böswilligen Akteuren angeboten wird? Unabhängig davon sind die Auswirkungen auf Website-Besitzer und Besucher unbestreitbar.
Langlebigkeit und Umfang
Eine erschreckende Enthüllung kam im April 2023, als Sucuri berichtete, dass Balada Injector seit 2017 aktiv ist und möglicherweise fast eine Million WordPress-Websites gefährdet. Dies deutet auf eine anhaltende und hartnäckige Bedrohung hin und macht es für Website-Administratoren unerlässlich, informiert zu bleiben und Maßnahmen zu ergreifen.
Die neueste Kampagne: CVE-2023-3169 Ausbeutung
Die aktuelle Balada Injector-Kampagne konzentriert sich auf CVE-2023-3169, eine Cross-Site-Scripting-Schwachstelle (XSS), die in tagDiv Composer entdeckt wurde. Dieses Tool arbeitet mit den tagDiv-Themes Newspaper und Newsmag zusammen, die beliebte Alternativen für WordPress-Websites sind. Beide Themes sind Premium-Themen und werden häufig von erfolgreichen Websites mit hohem Traffic genutzt.
Die neue Kampagne zu dieser WordPress-Sicherheitslücke begann Mitte September, kurz nachdem die Sicherheitslücke bekannt wurde und ein Proof-of-Concept-Exploit veröffentlicht wurde. Die Angreifer drangen über das bösartige Plugin "wp-zexit.php" in WordPress-Websites ein und konnten so aus der Ferne PHP-Code ausführen, der in der Datei "/tmp/i" gespeichert war. Außerdem wurden Besucher durch Code-Injektion in Vorlagen auf von den Angreifern kontrollierte Betrugsseiten geleitet.
TagDiv, der Entwickler der betroffenen Themes, hat das Problem bestätigt und empfohlen, als vorbeugende Maßnahme auf die neueste Theme-Version zu aktualisieren. Die Installation eines Sicherheits-Plugins wie Wordfence, das Scannen der Website und das Ändern aller Website-Passwörter wurden ebenfalls als Vorsichtsmaßnahmen empfohlen.
Sucuris Einblicke: Die Komplexität der Kampagne
Der Bericht von Sucuri bietet einen umfassenden Überblick über die Balada Injector-Kampagne. Er hebt sechs verschiedene Angriffswellen hervor, von denen einige Variationen aufweisen, was die Raffinesse der Angreifer unterstreicht. Hier ist eine Aufschlüsselung dieser Malware-Angriffe auf WordPress:
- Kompromittierung von WordPress-Websites: Angreifer schleusten bösartige Skripte von "stay.decentralappps[.]com" ein und beeinträchtigten damit über 5.000 Websites.
- Erstellung betrügerischer Administratorkonten: Anfänglich verwendeten die Angreifer den Benutzernamen "greeceman", wechselten aber später zu automatisch generierten Benutzernamen, die auf dem Hostnamen der Website basierten.
- Einbettung von Backdoors: Der WordPress-Theme-Editor wurde missbraucht, um Backdoors in die "404.php"-Datei des Newspaper-Theme einzubetten, die heimlich bestehen bleiben.
- Verwendung des wp-zexit-Plugins: Die Angreifer griffen auf dieses Plugin zurück, das das WordPress-Administrationsverhalten nachahmt und Hintertüren in der Ajax-Schnittstelle der Website versteckt.
- Erhöhte Randomisierung: Um der Entdeckung zu entgehen, führten die Angreifer drei neue Domänen ein und erhöhten die Zufälligkeit der injizierten Skripte, URLs und Codes.
- Neue Domänen: Die Angriffe gingen zur Verwendung von "promsmotion[.]com"-Subdomänen über und konzentrierten sich auf drei spezifische Injektionen, die auf 92, 76 und 67 Websites entdeckt wurden.
Die Ergebnisse von Sucuri zeigen, dass über 17,000 WordPress-Websites im September 2023 dem Balada Injector zum Opfer fielen, wobei etwa die Hälfte von ihnen (9.000) durch CVE-2023-3169 kompromittiert wurde. Dies unterstreicht die Fähigkeit der Angreifer, sich schnell anzupassen, um ihre Wirkung zu maximieren.
Verteidigung gegen Balada Injector
Der Schutz Ihrer WordPress-Website vor Balada Injector ist von größter Bedeutung. Hier sind Schritte, um Ihre Verteidigung zu verstärken:
- Aktualisieren Sie tagDiv Composer: Stellen Sie sicher, dass Ihr tagDiv Composer-Plugin mindestens auf Version 4.2 oder höher aktualisiert ist. Dieses Update behebt die von Balada Injector verursachte Sicherheitslücke.
- Halten Sie Themes und Plugins auf dem neuesten Stand: Aktualisieren Sie regelmäßig alle Themes und Plugins auf Ihrer WordPress-Website. Die Entwickler veröffentlichen häufig Updates, um Sicherheitslücken zu schließen und die Sicherheit zu verbessern.
- Entfernen Sie ruhende Benutzerkonten: Gehen Sie Ihre Benutzerkonten durch und entfernen Sie alle, die nicht mehr aktiv oder notwendig sind. Es ist eine kluge Vorsichtsmaßnahme, die Anzahl der potenziellen Einstiegspunkte für Angreifer zu reduzieren.
- Nach versteckten Hintertüren suchen: Scannen Sie Ihre Website-Dateien regelmäßig auf versteckte Hintertüren oder bösartigen Code. Sicherheits-Plugins können in dieser Hinsicht wertvoll sein.
Schlussfolgerung
Die jüngsten Angriffe des Balada Injectors auf über 17.000 WordPress-Websites sind eine deutliche Erinnerung an die allgegenwärtigen Bedrohungen in der digitalen Landschaft. Die Behebung von WordPress-Schwachstellen ist ein entscheidender Aspekt der einer sicheren und widerstandsfähigen Website. Es liegt in unserer Verantwortung, informiert zu bleiben, wachsam zu sein und proaktive Schritte zum Schutz unserer Online-Ressourcen zu unternehmen.
Umsetzung von bewährter Verfahren für die Website-Sicherheit ist für den Schutz Ihrer Online-Präsenz unerlässlich. Durch Befolgung der empfohlenen Sicherheitsmaßnahmen befolgen und sich über die neuesten Entwicklungen auf dem Laufenden halten, können Sie die Risiken, die von Balada Injector und anderen Cybersecurity-Bedrohungen ausgehen, mindern. Die Sicherheit Ihrer Website und das Vertrauen Ihrer Besucher hängen davon ab!
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und SC Medien.