Balada Injector снова атакует Интернет: популярный Wordpress-плагин стал идеальной точкой входа для тёмных хакеров

Balada Injector Balada WordPress Popup Builder JavaScript CVSS Sucuri WPScan Доктор Веб плагин уязвимость
Balada Injector снова атакует Интернет: популярный Wordpress-плагин стал идеальной точкой входа для тёмных хакеров
Balada Injector Balada WordPress Popup Builder JavaScript CVSS Sucuri WPScan Доктор Веб плагин уязвимость

Свыше 7000 заражённых страниц обеспечивают вредоносную активность против простых пользователей.

image

Тысячи WordPress-сайтов, использующих уязвимую версию плагина Popup Builder, были скомпрометированы вредоносной программой под названием Balada Injector.

Впервые задокументированная специалистами «Доктор Веб» в январе прошлого года, вредоносная кампания представляет собой серию атак, использующих недостатки безопасности плагинов WordPress для внедрения бэкдора, предназначенного для перенаправления посетителей заражённых сайтов на поддельные страницы технической поддержки, мошеннических выигрышей в лотерею и махинаций с push-уведомлениями.

Последнее расследование компании Sucuri показало, что активность Balada Injector была обнаружена более чем на 7100 сайтах по состоянию на декабрь 2023 года. На этот раз для атаки тёмные хакеры используют уязвимость в WordPress-плагине Popup Builder. Уязвимость получила идентификатор CVE-2023-6000 и рейтинг 8.8 баллов по CVSS. Она была официально устранена в версии плагина 4.2.3, в то время как последняя версия Popup Builder на момент публикации материала — 4.2.6.

Марк Монпас, исследователь из WPScan, заявил: «При успешном использовании этой уязвимости злоумышленники могут выполнять любые действия, доступ к которым есть у администратора сайта, включая установку произвольных плагинов и создание новых пользователей с правами администратора».

Цель вредоносной кампании — интегрировать на уязвимый сайт вредоносный JavaScript-файл для захвата контроля и установки дополнительной полезной нагрузки. Затем заражённые сайты, как было отмечено выше, используются злоумышленниками для облегчения вредоносных перенаправлений и фишинговых атак.

Данный киберинцидент в очередной раз напоминает владельцам сайтов на WordPress о важности регулярного обновления используемых плагинов до актуальных версий. Уязвимости в устаревших версиях плагинов, таких как Popup Builder, могут привести к заражению сайта и использованию его в преступных целях. Регулярные обновления — это простой, но эффективный способ защитить свой сайт и его посетителей от подобных атак.