Исследователи предупреждают, что хакеры атакуют сайты под управлением WordPress, используя уязвимость в устаревших версиях плагина Popup Builder. По информации Sucuri, таким способом злоумышленники уже скомпрометировали более 3900 веб-сайтов всего за три недели.
Для своих атак хакеры используют XSS-уязвимость CVE-2023-6000 в плагине Popup Builder (версий 4.2.3 и старше), который, согласно официальной статистике, установлен на 200 000 сайтов.
Исходно эта проблема была обнаружена еще в ноябре 2023 года, и с тех пор она уже использовалась для массовых атак. Так, в начале 2024 года сообщалось, что в рамках вредоносной кампании Balada Injector были взломаны более 6700 сайтов на WordPress, использующих уязвимую версию плагина Popup Builder.
Как теперь предупреждают эксперты Sucuri, обнаружена новая кампания, нацеленная на ту же самую уязвимость в Popup Builder. Очевидно, патчи до сих пор установили далеко не все администраторы, так как, по данным PublicWWW, инъекции кода, связанные с новыми атаками, можно найти на 3900 сайтах (собственные сканеры Sucuri обнаружили 1170 заражений).
Атаки поражают разделы Custom JavaScript или Custom CSS в административном интерфейсе WordPress, а вредоносный код хранится в таблице БД wp_postmeta. Основная задача атакующих заключается в том, чтобы их малварь выступала в роли обработчика событий для различных событий в Popup Builder, включая sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose и sgpb-DidClose. Таким образом, вредоносный код запускается при определенных действиях плагина, например, при открытии или закрытии всплывающего окна.
Главная цель этих инъекций — перенаправление посетителей зараженных сайтов на вредоносные адреса (фишинговые страницы и сайты, распространяющие малварь). В частности, в некоторых случаях аналитики наблюдали внедрение URL-адреса перенаправления (hxxp://ttincoming.traveltraffic[.]cc/?traffic) в качестве параметра redirect-url для всплывающего окна contact-form-7.
Показанный на иллюстрации выше инжект получает сниппет вредоносного кода из внешнего источника и внедряет его в шапку веб-страницы для выполнения браузером. Исследователи отмечают, что с помощью этого метода злоумышленники могут совершать множество разных вредоносных действий, которые могут оказаться куда серьезнее простых перенаправлений.
В настоящее время атаки исходят всего с двух доменов (ttincoming.traveltraffic[.]cc и host.cloudsonicwave[.]com), поэтому специалисты настоятельно рекомендуют их заблокировать.
