Περίπου 6,700 ιστοσελίδες του WordPress που χρησιμοποιούν μια ευπαθή έκδοση του plugin Popup Builder έχουν μολυνθεί από το Malware Balada Injector σε μια εκστρατεία που ξεκίνησε τον Δεκέμβριο.

Δείτε επίσης: Microsoft: Ενημέρωση του Windows 10 WinRE με διορθώσεις BitLocker

Αρχικά καταγράφηκε από ερευνητές του Dr. Web που παρατήρησαν συντονισμένα κύματα επιθέσεων που εκμεταλλεύονταν γνωστά σφάλματα στα θέματα και τα πρόσθετα του WordPress, αργότερα ανακαλύφθηκε ότι το Balada Injector ήταν μια μαζική λειτουργία που λειτούργησε από το 2017 και είχε παραβιάσει περισσότερες από 17,000 ιστοσελίδες WordPress.

Οι επιθέσεις ενσωματώνουν ένα backdoor που ανακατευθύνει τους επισκέπτες των μολυσμένων ιστοσελίδων σε ψεύτικες σελίδες υποστήριξης, σελίδες κλήρωσης και απάτες push notification.

Η πιο πρόσφατη εκστρατεία του Balada Injector ξεκίνησε στις 13 Δεκεμβρίου 2023, δύο ημέρες μετά την αναφορά της WPScan για το CVE-2023-6000, μια ευπάθεια cross-site scripting (XSS) στις εκδόσεις 4.2.3 και παλαιότερες του Popup Builder.

Το Popup Builder χρησιμοποιείται σε 200,000 ιστοσελίδες για τη δημιουργία προσαρμοσμένων αναδυόμενων παραθύρων για μάρκετινγκ, ενημέρωση και λειτουργικούς σκοπούς.

Η εταιρεία ασφαλείας ιστοσελίδων Sucuri αναφέρει ότι το Balada Injector ήταν γρήγορο στο να ενσωματώσει ένα εκμεταλλεύομενο πρόβλημα, που κάνει hijack το συμβάν “sgpbWillOpen” στο Popup Builder και εκτελεί κακόβουλο κώδικα JavaScript στη βάση δεδομένων του ιστότοπου όταν το αναδυόμενο παράθυρο λανσάρεται.

Δείτε ακόμα: Framework Computer: Υπέστη παραβίαση δεδομένων

Κακόβουλος κώδικας Javascript που εκτελείται όταν ανοίγει ένα παράθυρο

Η Sucuri παρατήρησε ότι οι επιτιθέμενοι χρησιμοποίησαν επίσης μια δευτερεύουσα μέθοδο μόλυνσης, τροποποιώντας το αρχείο wp-blog-header.php για να ενθαρρύνουν το ίδιο κακόβουλο backdoor του JavaScript.

Στη συνέχεια, ο δράστης ελέγχει για τα cookies που σχετίζονται με τους διαχειριστές και τους επιτρέπουν να φορτώσουν διάφορα σετ σεναρίων για να ενσωματώσουν τo κύριo backdoor, που παρουσιάζεται ως ένα πρόσθετο με το όνομα ‘wp-felody.php’.

Οι ερευνητές αναφέρουν ότι η μόλυνση ποτέ δεν σταματά στο πρώτο βήμα και η ενσωμάτωση του κύριου backdoor πάντα ακολουθεί την αρχική παραβίαση.

Η λειτουργία του backdoor ‘felody’ περιλαμβάνει την αυθαίρετη εκτέλεση κώδικα PHP, τη μεταφόρτωση και εκτέλεση αρχείων, την επικοινωνία με τους επιτιθέμενους και τη λήψη επιπλέον φορτίων.

Προς το παρόν, ο αριθμός των ιστοσελίδων WordPress που προσβλήθηκαν από την καμπάνια του Balada Injector Malware έχει φτάσει τις 6,700 ιστοσελίδες.

Δείτε επίσης: Bitwarden: Υποστηρίζει πλέον τα passkeys για πρόσβαση στα password vaults

Η ανάλυση της Sucuri για τα domain που χρησιμοποιούνται για αυτές τις επιθέσεις αποκαλύπτει ένα πρότυπο στην καταχώρησή τους, που υποδηλώνει μια προσπάθεια να αποκρύψουν την πραγματική προέλευση των επιθέσεων που εμπλέκει επίσης τη χρήση των firewall της Cloudflare.

Σύμφωνα με τον ερευνητή ασφαλείας Randy McEoin, οι ανακατευθύνσεις σε αυτήν την καμπάνια δείχνουν προς απάτες push notification.

Η υπεράσπιση απέναντι στις επιθέσεις του Balada Injector απαιτεί από τους διαχειριστές των ιστοσελίδων WordPress να ενημερώσουν τα θέματα και τα plugin στις τελευταίες τους εκδόσεις και να καταργήσουν προϊόντα που δεν υποστηρίζονται πλέον ή δεν είναι απαραίτητα για την ιστοσελίδα.

Η διατήρηση ενός μικρού αριθμού ενεργών plugin σε μια ιστοσελίδα WordPress μειώνει την επιφάνεια επίθεσης και ελαχιστοποιεί τον κίνδυνο παραβίασης από αυτόματα σενάρια.

Πηγή: bleepingcomputer