Хакери зламують сайти на WordPress, використовуючи вразливість у застарілих версіях плагіна Popup Builder, заразивши понад 3300 сайтів шкідливим кодом.
Вразливість, яка використовується в атаках, позначається як CVE-2023-6000 — міжсайтова скриптова (XSS) вразливість, що впливає на Popup Builder версій 4.2.3 і старіших, яка була вперше виявлена в листопаді 2023 року.
Кампанія Balada Injector, виявлена на початку року, використала цю вразливість для зараження понад 6700 сайтів, що свідчить про те, що багато адміністраторів сайтів не встигли встановити патчі достатньо швидко. Тепер нова кампанія націлену на ту ж саму вразливість в плагіні WordPress. За даними PublicWWW, впровадження коду, пов’язані з цією останньою кампанією, можна знайти на 3329 сайтах WordPress за останні три тижні.
Атаки заражають розділи Custom JavaScript або Custom CSS адміністративного інтерфейсу WordPress, а шкідливий код зберігається в таблиці бази даних ‘wp_postmeta’.
Основна функція впровадженого коду полягає в тому, щоб виступати в ролі обробників подій для плагіна Popup Builder, таких як “sgpb-ShouldOpen”, “sgpb-ShouldClose”, “sgpb-WillOpen”, “sgpbDidOpen”, “sgpbWillClose” і “sgpb-DidClose”. Шкідливий код запускається при певних діях плагіна, наприклад, при відкритті або закритті спливаючого вікна.
Конкретні дії коду можуть відрізнятися, але основною метою ін’єкцій є перенаправлення відвідувачів інфікованих сайтів на шкідливі адреси, такі як фішингові сторінки та сайти зі шкідливим програмним забезпеченням.
Зокрема, в деяких інфекціях аналітики спостерігали, як код впроваджував URL-адресу перенаправлення (hxxp://ttincoming.traveltraffic[.]cc/?traffic) як параметр redirect-url для спливаючого вікна “contact-form-7”.
На практиці зловмисники можуть досягти цілого ряду цілей за допомогою цього методу, багато з яких потенційно можуть бути більш серйозними, ніж перенаправлення. Якщо ви використовуєте плагін Popup Builder на своєму сайті, оновіть його до останньої версії, наразі 4.2.7, яка усуває CVE-2023-6000 та інші проблеми безпеки.