6700 сайтов на WordPress взломаны Balada Injector

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Специалисты Sucuri новую кампанию Balada Injector, начавшуюся в середине декабря 2023 года.


В результате более 6700 сайтов на WordPress, использующих уязвимую версию плагина Popup Builder, оказались заражены малварью.

Напомним, что исходно Balada Injector был в конце прошлого года специалистами компаний Sucuri и «Доктор Веб». Тогда эксперты предупреждали, что Linux-бэкдоры Balada Injector начали распространяться еще в 2017 году и успели заразить более миллиона сайтов под управлением WordPress, используя свыше 30 различных уязвимостей в ряде плагинов и тем оформления.

Как правило Balada Injector используется для перенаправления посетителей взломанных сайтов на фейковые страницы технической поддержки, фальшивые выигрыши в лотерею, скам, связанный с push-уведомлениями, и так далее.

Последняя кампания Balada Injector стартовала 13 декабря 2023 года, всего через два дня после того, как аналитики WPScan сообщили об XSS-уязвимости в плагине Popup Builder (версий 4.2.3 и старше), который используется на 200 000 сайтов.

Авторы Balada Injector быстро внедрили эксплоит для этого этого бага в свою малварь, который использует событие sgpbWillOpen в Popup Builder и выполняет вредоносный JavaScript-код в БД сайта при запуске всплывающего окна.



Исследователи отмечают, что злоумышленники также используют метод дополнительного заражения, изменяя файл wp-blog-header.php для внедрения на сайт того же JavaScript-бэкдора.

После этого атакующие проверяют связанные с администратором файлы cookie, которые позволяют им загружать на сайт различные наборы скриптов для внедрения основного бэкдора, замаскированного под плагин wp-felody.php.

Сам бэкдор felody способен выполнять произвольный PHP-код, загружать и выполнять файлы, взаимодействовать со злоумышленниками и получать от них дополнительные полезные нагрузки.

Как уже было сказано выше, в настоящее время заражению уже подверглись более 6700 сайтов. По словам исследователей, редиректы этой вредоносной кампании в основном связаны мошенническими push-уведомлениями.



 
  • Теги
    balada injector popup builder взлом wordpress доктор веб
  • Сверху Снизу