Хакеры взламывают сайты на WordPress, используя уязвимость в устаревших версиях плагина Popup Builder, заразив более 3300 сайтов вредоносным кодом.
Уязвимость, используемая в атаках, отслеживается как CVE-2023-6000 — межсайтовая скриптовая (XSS) уязвимость, влияющая на Popup Builder версий 4.2.3 и более старых, которая была впервые обнаружена в ноябре 2023 года.
Кампания Balada Injector, обнаруженная в начале года, использовала эту уязвимость для заражения более 6700 сайтов, что свидетельствует, что многие администраторы сайтов не успели установить патчи достаточно быстро. Теперь новая кампания нацелена на ту же самую уязвимость в плагине WordPress. По данным PublicWWW, внедрения кода, связанные с этой последней кампанией, можно найти на 3329 сайтах WordPress за последние три недели.
Атаки заражают разделы Custom JavaScript или Custom CSS административного интерфейса WordPress, а вредоносный код сохраняется в таблице базы данных ‘wp_postmeta’.
Основная функция внедренного кода заключается в том, чтобы выступать в роли обработчиков событий для плагина Popup Builder, таких как «sgpb-ShouldOpen», «sgpb-ShouldClose», «sgpb-WillOpen», «sgpbDidOpen», «sgpbWillClose» и «sgpb-DidClose». Вредоносный код запускается при определенных действиях плагина, например, при открытии или закрытии всплывающего окна.
Конкретные действия кода могут отличаться, но основной целью инъекций является перенаправление посетителей инфицированных сайтов на вредоносные адреса, такие как фишинговые страницы и сайты с вредоносным программным обеспечением.
В частности, в некоторых инфекциях аналитики наблюдали, как код внедрял URL-адрес перенаправления (hxxp://ttincoming.traveltraffic[.]cc/?traffic) как параметр redirect-url для всплывающего окна «contact-form-7».
На практике злоумышленники могут достичь целого ряда целей с помощью этого метода, многие из которых потенциально могут быть более серьезными, чем перенаправление. Если вы используете плагин Popup Builder на своем сайте, обновите его до последней версии, сейчас 4.2.7, которая устраняет CVE-2023-6000 и другие проблемы безопасности.