BabaYaga атакує WordPress, при цьому зберігає сайт жертви.

BabaYaga проти WordPress .

Нічого не стоїть на місці у цьому світі. Казкові персонажі теж успішно освоюють сучасні технології і вже добралися до інтернету! WordPress став теж джерелом уваги шкідливого скрипту  під назвою BabaYaga. Саме про нього буде мова йти у даній публікації.

Воістину змішались коні й люди! Скоро мабуть на IT арену з’явиться зловмисні програми під назвами ChahlikNevmirushchiy та ZmiyGorinych і якийсь могутній скрипт під назвою IvanDurak, який буде мужньо з ними боротися і приносити своєму господарю шалений прибуток. Але це невеличкий іронічний, жартівливий вступ, а питання в наступному. Завсім недавно знайшов цікаву інформацію, якою хочу поділитися.

Вітер дме з боку компанії Defiant?

Група дослідників з компанії Defiant (у минулому WordFence) нещодавно опублікували детальний звіт про зловмисне програмне забезпечення, яке вони називають BabaYaga, на честь міфічного творіння з слов’янського фольклору. Вони також припускають його походження: “Зловмисне програмне забезпечення, здається, є російським.” Звіт підготував Бред Хаас, старший аналітик з безпеки в Defiant, за сприянням команди Defiant.  Дослідження може бути цікаве перш за все розробникам сайтів на WordPress, та іншим фахівцям з безпеки.

Унікальний шкідник.

Описаний у звіті шкідливий скрипт унікальний тим, що він містить деякі ознаки досить розумних методів самозбереження, такі як видалення конкуруючого шкідливого програмного забезпечення та оновлення сайту жертви.
Шкідливе програмне забезпечення,назване BabaYaga не є новим, але останні оновлення перетворили цього колишнього слабкого гравця на значного противника для адміністраторів сайту WordPress.

“BabaYaga є відносно добре написаним скриптом, і це свідчить, що автор має певне розуміння проблем із розробкою програмного забезпечення, як-от розгортання коду, продуктивність та управління”, – стверджують дослідники. “Він також може заражати сайти Joomla і Drupal, або навіть загальні PHP-сайти, але це найбільш повно розроблено для WordPress”.

BabaYaga слідкує, щоб сайт жертви працював нормально.

Шкідлива програма хоче зберегти сайт жертви, тому вона завжди працює належним чином, без помилок.  BabaYaga “навіть керує створенням та очищенням файлів резервної копії, якщо відбулася помилка оновлення”.

Таке ж бажання зберегти скомпрометований сайт без помилок є також причиною BabaYaga також сканує заражений сайт і видаляє інші відомі штами.

Ідея полягає в тому, що деякі з цих конкуруючих шкідливих програм можуть бути погано кодовані, що призводить до помилок завантаження сторінки, які побічно призводять до ситуацій, які можуть перешкодити роботі BabaYaga.

Але, крім власних егоїстичних причин для роботи без помилок, програмний скрипт BabaYaga також хоче зберегти сайт без помилок з іншої причини. Ця причина полягає в тому, що будь-який сайт з помилками, як правило, звертає увагу власника, який у своїх зусиллях по вирішенню проблем може також виявити файли та присутність BabaYaga.

Комерційна мета шкідливого скрипту.

Загалом, зі слів Defiant, “BabaYaga – це нова загроза, більш складна, ніж більшість шкідливих програм”. Сторінки ураженого сайту потім використовуються для переадресації користувачів на афілійовані маркетингові посилання, де, якщо користувач купує рекламовані товари, хакери також отримують прибуток.

Від автора:

Взагалі треба бути дуже уважним, шкідливі програми штука дуже неприємна. Але дозвольте мені висловити критичну точку зору. Прошу її сприймати виключно як тему для роздумів, але не як поштовх до дії.

У нашому наскрізь комерціалізованому світі можна досить вдало використовувати навіть казкових персонажів для просування свого власного бренду. Це стосується однаково і авторів аналітичного звіту, так і розробників BabaYaga. Одні просувають власну систему безпеки для WordPress, інші написали доволі інтелектуальний скрипт.

Взагалі виникає купа питань.  В народі говорять: “Щоб боротися з проблемами, їх спочатку потрібно створити”. Щоб успішно боротися з дуже серйозним і оригінальним шкідливим скриптом, потрібно його створити, потім знаючи добре алгоритм його роботи продавати чи роздавати направо і наліво власний інструмент боротьби з ним.

Короткий витяг зі звіту:
Команда Defiant виконала глибокий аналіз цього шкідливого програмного забезпечення. Ми випустили можливість виявлення цього варіанта зловмисних програм для наших клієнтів Premium Wordfence. Наші Преміальні клієнти отримали це оновлення в режимі реального часу, і наші безкоштовні користувачі спільноти зможуть отримайте їх протягом 30 днів.
Виконавши поглиблений аналіз, ми також забезпечили нашу команду повним розумінням того, як очистити та відновити сайт, який був заражений цим складний варіант шкідливого програмного забезпечення. Якщо ви постраждали від цієї загрози, ми рекомендуємо звернутися до нашої групи з очистки сайту, щоб завантажити ваш сайт і запустити його.

Якщо уважно покопатися в коді багатьох “іменитих” плагінів, то навіть в карту Вашого сайту вони умудряються запхнути три власні посилання і нічого, Defiant мовчить. Інша справа, якщо Defiant проаналізує всі плагіни і зробить подібні звіти по кожному. Список ефективних плагінів для WordPress схуднув би на порядок. Але це моя особиста думка. Я відношуся до подібний публікацій критично. Припустимо, що такого роду плагін на такому серйозному рівні тихенько собі слідкував за стабільністю сайту, та ще й так, щоб власник цього навіть не помічав, то хіба це шкідник? Хто аналізував так серйозно відношення коефіцієнту корисної дії окремо взятого плагіну і коефіцієнту навантаження на систему, яке він створює. Тема скоріше дискусійна. Але новина про шкідливе програмне забезпечення BabaYaga облетіла інтернет.

Бережіть себе і результати Вашої праці!

Джерело: bleepingcomputer
  1. 5
  2. 4
  3. 3
  4. 2
  5. 1

(22 голоси, в середньому: 5 з 5)

2 comments

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *