Добавить в корзинуПозвонить
Найти в Дзене
Digital | Grant
2 подписчика

6700 сайтов на WordPress взломаны Balada Injector

9
1 мин
Специалисты Sucuri обнаружили новую кампанию Balada Injector, начавшуюся в середине декабря 2023 года. В результате более 6700 сайтов на WordPress, использующих уязвимую версию плагина Popup Builder, оказались заражены малварью. Напомним, что исходно Balada Injector был обнаружен в конце прошлого года специалистами компаний Sucuri и «Доктор Веб». Тогда эксперты предупреждали, что Linux-бэкдоры Balada Injector начали распространяться еще в 2017 году и успели заразить более миллиона сайтов под управлением WordPress, используя свыше 30 различных уязвимостей в ряде плагинов и тем оформления. Как правило Balada Injector используется для перенаправления посетителей взломанных сайтов на фейковые страницы технической поддержки, фальшивые выигрыши в лотерею, скам, связанный с push-уведомлениями, и так далее. Последняя кампания Balada Injector стартовала 13 декабря 2023 года, всего через два дня после того, как аналитики WPScan сообщили об XSS-уязвимости CVE-2023-6000 в плагине Popup Builder (ве

Специалисты Sucuri обнаружили новую кампанию Balada Injector, начавшуюся в середине декабря 2023 года. В результате более 6700 сайтов на WordPress, использующих уязвимую версию плагина Popup Builder, оказались заражены малварью.

Напомним, что исходно Balada Injector был обнаружен в конце прошлого года специалистами компаний Sucuri и «Доктор Веб». Тогда эксперты предупреждали, что Linux-бэкдоры Balada Injector начали распространяться еще в 2017 году и успели заразить более миллиона сайтов под управлением WordPress, используя свыше 30 различных уязвимостей в ряде плагинов и тем оформления.

Как правило Balada Injector используется для перенаправления посетителей взломанных сайтов на фейковые страницы технической поддержки, фальшивые выигрыши в лотерею, скам, связанный с push-уведомлениями, и так далее.

Последняя кампания Balada Injector стартовала 13 декабря 2023 года, всего через два дня после того, как аналитики WPScan сообщили об XSS-уязвимости CVE-2023-6000 в плагине Popup Builder (версий 4.2.3 и старше), который используется на 200 000 сайтов.

Авторы Balada Injector быстро внедрили эксплоит для этого этого бага в свою малварь, который использует событие sgpbWillOpen в Popup Builder и выполняет вредоносный JavaScript-код в БД сайта при запуске всплывающего окна.

Исследователи отмечают, что злоумышленники также используют метод дополнительного заражения, изменяя файл wp-blog-header.php для внедрения на сайт того же JavaScript-бэкдора.

После этого атакующие проверяют связанные с администратором файлы cookie, которые позволяют им загружать на сайт различные наборы скриптов для внедрения основного бэкдора, замаскированного под плагин wp-felody.php.

Сам бэкдор felody способен выполнять произвольный PHP-код, загружать и выполнять файлы, взаимодействовать со злоумышленниками и получать от них дополнительные полезные нагрузки.

Как уже было сказано выше, в настоящее время заражению уже подверглись более 6700 сайтов. По словам исследователей, редиректы этой вредоносной кампании в основном связаны мошенническими push-уведомлениями.