Новые домены, старые проблемы: Balada Injector снова в игре

В ходе мониторинга веб-сайтов команда исследователей угроз Cybernews обнаружила активность вредоносного ПО Balada Injector, которая направлена на сайты WordPress . В результате исследования выяснилось, что вирус маскируется и использует новые доменные имена для обхода систем безопасности. По данным PublicWWW, вирус затронул более тысячи сайтов.

Как работает Balada Injector

В качестве отправной точки исследования послужил сайт «spatialreality[.]com». Вместо отображения главной страницы сайта посетителю предлагалось скачать PHP-файл. Файл содержал вредоносный код, который позволял удаленно получать доступ к зараженной машине и управлять рекламными кампаниями на основе переадресации.

Основные моменты кампани Balada Injector

• Balada Injector активен с 2017 года. В рассмотренном случае было замечено 7 автоматизированных атак на уязвимый сайт WordPress.
• Вредоносные скрипты загружались с различных доменов. Скрипты не только перенаправляли пользователей на сайты с сомнительной репутацией, но и пытались отслеживать пользователя, устанавливая шпионские расширения или другое ПО.
• На одном из исследуемых адресов сайт выглядел обычно, но через «favicon.ico» в браузер пользователя загружался вредоносный JavaScript-файл.
• Киберпреступники используют случайно сгенерированные домены, а также регулярно меняют их, когда старые домены обнаруживаются и помечаются как вредоносные. Все домены и поддомены, задействованные в атаке, связаны с одним и тем же субъектом угрозы.

Исследование подтверждает, что Balada Injector продолжает быть серьезной угрозой в киберпространстве, и подчеркивает необходимость постоянного мониторинга и обновления систем безопасности.

Ранее специалисты компании Sucuri заявили, что с 2017 года с помощью Balada Injector было заражено суммарно более миллиона веб-сайтов на базе WordPress. Известно, что атаки проходят волнами — раз в несколько недель.