WordPress-ի հազարավոր կայքեր, որոնք օգտագործում են Popup Builder հավելվածի խոցելի տարբերակը, վտանգված են Balada Injector կոչվող malware-ի կողմից:
Առաջին անգամ փաստաթղթավորված Doctor Web-ի կողմից արշավը տեղի ունեցավ պարբերական հարձակման արշավների շարքով, որոնք զինում են WordPress-ի plugin-երը` inject անելով ընտրված backdoor-ը, ինչն էլ նախատեսված է վնասված կայքերի այցելուներին կեղծ էջեր ուղղորդելու համար:
GoDaddy-իին պատկանող վեբկայքերի անվտանգության ընկերությունը, որը հայտնաբերեց Balada Injector-ի վերջին գործունեությունը նշում է, որ injection-երը նույնականացվել են ավելի քան 7,100 կայքերում:
Այս հարձակումները չարաշահում են Popup Builder-ի կրիտիկական խստության խոցելիությունը (CVE-2023-6000, CVSS կատալոգում միավորը՝ 8.8), որոնք կիրառվել են ավելի քան 200,000 ակտիվ տեղադրումներով:
Balada Injector-ի հետևում կանգնած հաքերները վերահսկողություն են հաստատում վտանգված կայքերի վրա՝ վերբեռնելով backdoor-եր, ավելացնելով վնասակար plugin-ներ:
Մեկ այլ backdoor հանդիսացող payload-ը պահվում է «sasas» անունով directory-ում, որտեղ պահվում են ժամանակավոր ֆայլերը, այնուհետև գործարկվում են և ջնջվում սկավառակից:
«Այն երեք մակարդակով ստուգում է իրականացնում՝ փնտրելով ընթացիկ կայքի root directory-ին, որը կիսում է նույն server-ի account-ը», – նշում է Սինեգուբկոն:
«Այնուհետև, հայտնաբերված կայքի root directory-ին փոփոխում է wp-blog-header.php ֆայլը՝ Popup Builder-ի խոցելիության միջոցով inject անելով նույն Balada JavaScript malware-ը»:
Աղբյուրը՝ https://thehackernews.com/
