تمكن فريق بحثي في سايبر نيوز Cybernews مؤخرًا من تحديد "موجات اختراق" موجهة نحو ووردبرس WordPress والتي يسببها برنامج بالادا إنجكتور Balada Injector الضار، والذي يتهرب باستمرار من برامج الأمان من خلال استخدام أسماء نطاقات جديدة وتغييرات طفيفة بين موجات الهجمات المبهمة، وفقًا للباحثين.
وأضاف باحثو سايبر نيوز أن حاقن Balada يبدو أنه مسؤول عن عمليتين: الأولى تتمثل في نشر نص مكتوب باستخدام JavaScript في المستند الذي يتم تقديمه لكل زائر للموقع إذا تم استيفاء شروط معينة. والثانية تتمثل في فتح باب خلفي داخل موقع الويب المخترق لمزيد من الاستغلال، والذي يمكن بعد ذلك الوصول إليه عن بُعد من خلال استعلام مصمم خصيصًا.
ونوهت سايبر نيوز إلى أن المهاجمين يبدو أنهم يستخدمون المجالات التي تم إنشاؤها عشوائيًا والتي يتم شراؤها من خلال مزودي الخدمة الذين يسمحون بعمليات الشراء المجهولة. كما يقومون أيضًا بتبديلها باستمرار عندما يتم اكتشاف القديمة ووضع علامة على أنها ضارة، مضيفة أن مشغلي البرامج الضارة يستفيدون أيضًا من تأجير "خوادم افتراضية خاصة" و "خدمات الاستضافة المشتركة" من مختلف مقدمي خدمات الاستضافة في بلدان مثل أوكرانيا وألمانيا، حيث تمت استضافة البرامج الضارة المكتشفة.
وذكر التقرير الصادر عن سايبر نيوز أن إحدى العلامات التي تشير إلى إصابة موقع ويب يستند إلى WordPress بـ Balada Injector أو أي ثغرة أمنية أخرى في حقن المستعرض هي عمليات إعادة التوجيه غير المتوقعة إلى مواقع الويب المشبوهة، وهو ما يستدعي إجراء فحص أمني للموقع.
وأوصى الباحثون كل مالك لموقع ويب يستند إلى WordPress بمراجعة إعدادات الأمان وسياسات التحديثات التلقائية للتأكد من أن إجراءات الأمان الخاصة بهم من الدرجة الأولى، إضافة للتأكد من عدم وجود مكونات إضافية ضعيفة على نظامهم.
وبالنسبة للمستخدم فإن آلية التخفيف لهذه المخاطر هي ببساطة اختيار عدم استخدام JavaScript (إيقاف تشغيل ذلك في المتصفح أو استخدام امتداد NoScript) لأن ذلك من شأنه أن يمنع الحمولة الضارة التي ينفذها موقع ويب مصاب.