تم اكتشاف هذه البرامج الضارة لأول مرة في عام 2017 ، واستمرت في إصابة أكثر من مليون موقع يقوم بتشغيل WordPress. إليك ما تحتاج إلى معرفته.

ووردبريس ليس غريباً عن الهجمات الإلكترونية ، وقد عانى الآن من استغلال آخر ، أصيب من خلاله أكثر من مليون موقع. حدثت هذه الحملة الخبيثة باستخدام نوع من البرامج الضارة المعروفة باسم Balada Injector. ولكن كيف تعمل هذه البرامج الضارة ، وكيف تمكنت من إصابة أكثر من مليون موقع WordPress؟

أساسيات برنامج Balada Injector Malware

حاقن Balada (صاغ لأول مرة في أ تقرير الدكتور ويب) هو برنامج ضار تم استخدامه منذ عام 2017 ، عندما بدأت هذه الحملة الضخمة للإصابة بـ WordPress. Balada Injector هو برنامج ضار مستتر على نظام Linux يستخدم للتسلل إلى مواقع الويب.

البرمجيات الخبيثة والفيروسات المستتر يمكن أن يتجاوز طرق تسجيل الدخول أو المصادقة النموذجية ، مما يسمح للمهاجم بالوصول إلى نهاية مطور موقع الويب. من هنا ، يمكن للمهاجم إجراء تغييرات غير مصرح بها ، وسرقة البيانات الثمينة ، وحتى إغلاق الموقع بالكامل.

تستغل الأبواب الخلفية نقاط الضعف في مواقع الويب من أجل الوصول غير المصرح به. يوجد في العديد من مواقع الويب نقطة ضعف واحدة أو أكثر (تُعرف أيضًا بالثغرات الأمنية) ، لذلك لا يجد الكثير من المتسللين صعوبة في إيجاد طريقة للدخول.

instagram viewer

لذا ، كيف تمكن مجرمو الإنترنت من اختراق أكثر من مليون موقع WordPress باستخدام Balada Injector؟

كيف أصابت Balada أكثر من مليون موقع ووردبريس؟

في أبريل 2023 ، أبلغت شركة الأمن السيبراني Sucuri عن حملة خبيثة كانت تتبعها منذ عام 2017. في ال مشاركة مدونة Sucuri، ذُكر أنه في عام 2023 ، اكتشف الماسح الضوئي SiteCheck التابع للشركة وجود Balada Injector أكثر من 140،000 مرة. تم العثور على موقع واحد تعرض لهجوم صادم 311 مرة باستخدام 11 نوعًا مختلفًا من Balada Injector.

ذكر Sucuri أيضًا أن لديه "أكثر من 100 توقيع تغطي كل من الأشكال المختلفة للواجهة الأمامية والخلفية للبرامج الضارة التي تم حقنها في ملفات الخادم وقواعد بيانات WordPress. "لاحظت الشركة أن عدوى Balada Injector تحدث عادةً على شكل موجات ، وتتزايد وتيرتها كل بضعة أسابيع.

لإصابة العديد من مواقع WordPress ، استهدف Balada Injector على وجه التحديد نقاط الضعف في سمات النظام الأساسي والمكونات الإضافية. يقدم WordPress آلاف المكونات الإضافية لمستخدميه ، ومجموعة واسعة من سمات الواجهة ، والتي تم استهداف بعضها من قبل قراصنة آخرين في الماضي.

الأمر المثير للاهتمام بشكل خاص هنا هو أن نقاط الضعف المستهدفة في حملة Balada معروفة بالفعل. تم التعرف على بعض هذه الثغرات منذ سنوات ، في حين تم اكتشاف البعض الآخر مؤخرًا. هدف Balada Injector هو البقاء على الموقع المصاب لفترة طويلة بعد نشره ، حتى لو تلقى المكون الإضافي الذي استغله تحديثًا.

في منشور المدونة المذكور أعلاه ، أدرج Sucuri عددًا من طرق العدوى المستخدمة لنشر Balada ، بما في ذلك:

  • حقن HTML.
  • حقن قاعدة البيانات.
  • حقن SiteURL.
  • الحقن التعسفي للملفات.

علاوة على ذلك ، يستخدم Balada Injector String.fromCharCode كتشويش بحيث يصعب على باحثي الأمن السيبراني اكتشافه والتقاط أي أنماط داخل تقنية الهجوم.

يقوم المتسللون بإصابة مواقع WordPress باستخدام Balada من أجل إعادة توجيه المستخدمين إلى صفحات الاحتيال ، مثل اليانصيب المزيفة ، وخداع الإشعارات ، ومنصات التقارير التقنية الزائفة. يمكن لـ Balada أيضًا إخراج معلومات قيمة من قواعد بيانات المواقع المصابة.

كيفية تجنب هجمات حاقن Balada

هناك بعض الممارسات التي يمكن للمرء استخدامها لتجنب Balada Injector ، مثل:

  • تحديث برامج موقع الويب بانتظام (بما في ذلك السمات والمكونات الإضافية).
  • إجراء عمليات تنظيف منتظمة للبرامج.
  • التنشيط توثيق ذو عاملين.
  • استخدام كلمات مرور قوية.
  • تحديد أذونات مسؤول الموقع.
  • تنفيذ أنظمة مراقبة سلامة الملفات.
  • الاحتفاظ بملفات بيئة التطوير المحلية منفصلة عن ملفات الخادم.
  • تغيير كلمات مرور قاعدة البيانات بعد أي حل وسط.

يمكن أن يساعدك اتخاذ مثل هذه الخطوات في الحفاظ على موقع WordPress الخاص بك آمنًا من Balada. لدى Sucuri أيضًا ملف دليل تنظيف WordPress التي يمكنك استخدامها للحفاظ على موقعك خاليًا من البرامج الضارة.

حاقن Balada لا يزال سائبًا

في وقت كتابة هذا التقرير ، كان Balada Injector لا يزال موجودًا ويصيب مواقع الويب. حتى يتم إيقاف هذه البرامج الضارة تمامًا في مساراتها ، فإنها لا تزال تشكل خطرًا على مستخدمي WordPress. في حين أنه من المثير للصدمة معرفة عدد المواقع المصابة بالفعل ، فأنت لحسن الحظ لست عاجزًا تمامًا ضد نقاط الضعف الخلفية والبرامج الضارة مثل Balada التي تستغل تلك العيوب.