Xakep #305. Многошаговые SQL-инъекции
Специалисты Sucuri обнаружили новую кампанию Balada Injector, начавшуюся в середине декабря 2023 года. В результате более 6700 сайтов на WordPress, использующих уязвимую версию плагина Popup Builder, оказались заражены малварью.
Напомним, что исходно Balada Injector был обнаружен в конце прошлого года специалистами компаний Sucuri и «Доктор Веб». Тогда эксперты предупреждали, что Linux-бэкдоры Balada Injector начали распространяться еще в 2017 году и успели заразить более миллиона сайтов под управлением WordPress, используя свыше 30 различных уязвимостей в ряде плагинов и тем оформления.
Как правило Balada Injector используется для перенаправления посетителей взломанных сайтов на фейковые страницы технической поддержки, фальшивые выигрыши в лотерею, скам, связанный с push-уведомлениями, и так далее.
Последняя кампания Balada Injector стартовала 13 декабря 2023 года, всего через два дня после того, как аналитики WPScan сообщили об XSS-уязвимости CVE-2023-6000 в плагине Popup Builder (версий 4.2.3 и старше), который используется на 200 000 сайтов.
Авторы Balada Injector быстро внедрили эксплоит для этого этого бага в свою малварь, который использует событие sgpbWillOpen в Popup Builder и выполняет вредоносный JavaScript-код в БД сайта при запуске всплывающего окна.
Исследователи отмечают, что злоумышленники также используют метод дополнительного заражения, изменяя файл wp-blog-header.php для внедрения на сайт того же JavaScript-бэкдора.
После этого атакующие проверяют связанные с администратором файлы cookie, которые позволяют им загружать на сайт различные наборы скриптов для внедрения основного бэкдора, замаскированного под плагин wp-felody.php.
Сам бэкдор felody способен выполнять произвольный PHP-код, загружать и выполнять файлы, взаимодействовать со злоумышленниками и получать от них дополнительные полезные нагрузки.
Как уже было сказано выше, в настоящее время заражению уже подверглись более 6700 сайтов. По словам исследователей, редиректы этой вредоносной кампании в основном связаны мошенническими push-уведомлениями.