16/01/24
Тысячи WordPress-сайтов, использующих уязвимую версию плагина Popup Builder, были скомпрометированы вредоносной программой под названием Balada Injector.
Впервые задокументированная специалистами «Доктор Веб» в январе прошлого года, вредоносная кампания представляет собой серию атак, использующих недостатки безопасности плагинов WordPress для внедрения бэкдора, предназначенного для перенаправления посетителей заражённых сайтов на поддельные страницы технической поддержки, мошеннических выигрышей в лотерею и махинаций с push-уведомлениями.
Последнее расследование компании Sucuri показало , что активность Balada Injector была обнаружена более чем на 7100 сайтах по состоянию на декабрь 2023 года, передаёт Securitylab. На этот раз для атаки тёмные хакеры используют уязвимость в WordPress-плагине Popup Builder. Уязвимость получила идентификатор CVE-2023-6000 и рейтинг 8.8 баллов по CVSS. Она была официально устранена в версии плагина 4.2.3, в то время как последняя версия Popup Builder на момент публикации материала — 4.2.6.
Марк Монпас, исследователь из WPScan, заявил: «При успешном использовании этой уязвимости злоумышленники могут выполнять любые действия, доступ к которым есть у администратора сайта, включая установку произвольных плагинов и создание новых пользователей с правами администратора».
Цель вредоносной кампании — интегрировать на уязвимый сайт вредоносный JavaScript-файл для захвата контроля и установки дополнительной полезной нагрузки. Затем заражённые сайты, как было отмечено выше, используются злоумышленниками для облегчения вредоносных перенаправлений и фишинговых атак.
Данный киберинцидент в очередной раз напоминает владельцам сайтов на WordPress о важности регулярного обновления используемых плагинов до актуальных версий. Уязвимости в устаревших версиях плагинов, таких как Popup Builder, могут привести к заражению сайта и использованию его в преступных целях. Регулярные обновления — это простой, но эффективный способ защитить свой сайт и его посетителей от подобных атак.
