Новости Новые домены, старые проблемы: Balada Injector снова в игре

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Исследователи выяснили, как хакерам удаётся до сих пор оставаться на плаву.


ny908fzqtnn71qxv8lqn08er4lfzomfm.jpg


В ходе мониторинга веб-сайтов команда исследователей угроз Cybernews обнаружила активность вредоносного ПО Balada Injector, которая направлена на сайты WordPress . В результате Для просмотра ссылки Войди или Зарегистрируйся выяснилось, что вирус маскируется и использует новые доменные имена для обхода систем безопасности. По данным PublicWWW, вирус затронул более тысячи сайтов.

Как работает Balada Injector

В качестве отправной точки исследования послужил сайт «spatialreality[.]com». Вместо отображения главной страницы сайта посетителю предлагалось скачать PHP-файл. Файл содержал вредоносный код, который позволял удаленно получать доступ к зараженной машине и управлять рекламными кампаниями на основе переадресации.

Основные моменты кампани Balada Injector

  • Balada Injector активен с 2017 года. В рассмотренном случае было замечено 7 автоматизированных атак на уязвимый сайт WordPress.
  • Вредоносные скрипты загружались с различных доменов. Скрипты не только перенаправляли пользователей на сайты с сомнительной репутацией, но и пытались отслеживать пользователя, устанавливая шпионские расширения или другое ПО.
  • На одном из исследуемых адресов сайт выглядел обычно, но через «favicon.ico» в браузер пользователя загружался вредоносный JavaScript-файл.
  • Киберпреступники используют случайно сгенерированные домены, а также регулярно меняют их, когда старые домены обнаруживаются и помечаются как вредоносные. Все домены и поддомены, задействованные в атаке, связаны с одним и тем же субъектом угрозы.
Исследование подтверждает, что Balada Injector продолжает быть серьезной угрозой в киберпространстве, и подчеркивает необходимость постоянного мониторинга и обновления систем безопасности.

Ранее специалисты компании Sucuri заявили, что с 2017 года с помощью Balada Injector было заражено Для просмотра ссылки Войди или Зарегистрируйся на базе WordPress. Известно, что атаки проходят волнами — раз в несколько недель.
 
Источник новости
www.securitylab.ru

Похожие темы