Popup Builder eklentisinin savunmasız bir sürümünü kullanan binlerce WordPress sitesinin güvenliği, adlı kötü amaçlı yazılım tarafından ele geçirildi. Balada Enjektör.
İlk olarak Ocak 2023’te Doctor Web tarafından belgelenen kampanya, virüslü sitelerin ziyaretçilerini sahte teknik destek sayfalarına, hileli piyango kazançlarına ve anlık bildirim dolandırıcılıklarına yönlendirmek için tasarlanmış arka kapı enjekte etmek üzere WordPress eklentilerini silah haline getiren bir dizi periyodik saldırı dalgasında gerçekleşiyor. .
Sucuri tarafından ortaya çıkarılan sonraki bulgular, 2017’den bu yana aktif olduğu ve o zamandan bu yana en az 1 milyon siteye sızdığı söylenen operasyonun devasa boyutunu ortaya çıkardı.
GoDaddy’nin sahibi olduğu web sitesi güvenlik şirketi saptanmış 13 Aralık 2023’teki son Balada Enjektör faaliyeti, enjeksiyonları tespit ettiğini söyledi 7.100’den fazla site.
Bu saldırılar Popup Builder’daki yüksek önemdeki bir kusurdan yararlanır (CVE-2023-6000CVSS puanı: 8.8) – bir eklenti 200.000’den fazla aktif yükleme – bu bir gün önce WPScan tarafından kamuya açıklandı. Sorun 4.2.3 sürümünde giderildi.
WPScan araştırmacısı Marc Montpas, “Bu güvenlik açığı başarıyla kullanıldığında, saldırganların, hedefledikleri oturum açmış yöneticinin hedeflenen sitede yapmasına izin verilen herhangi bir eylemi gerçekleştirmesine olanak tanıyabilir; buna isteğe bağlı eklentiler yüklemek ve yeni sahte Yönetici kullanıcılar oluşturmak da dahildir.” söz konusu.
Kampanyanın nihai hedefi, Specialcraftbox’ta barındırılan kötü amaçlı bir JavaScript dosyasını eklemektir.[.]com’a gidin ve web sitesinin kontrolünü ele geçirmek ve kötü amaçlı yönlendirmeleri kolaylaştırmak amacıyla ek JavaScript yüklemek için kullanın.
Dahası, Balada Injector’ın arkasındaki tehdit aktörlerinin, arka kapılar yükleyerek, kötü amaçlı eklentiler ekleyerek ve hileli blog yöneticileri oluşturarak güvenliği ihlal edilmiş siteler üzerinde kalıcı kontrol sağladığı biliniyor.
Bu genellikle, özellikle oturum açmış site yöneticilerini hedeflemek için JavaScript enjeksiyonları kullanılarak gerçekleştirilir.
Sucuri araştırmacısı Denis Sinegubko geçen yıl şunları kaydetti: “Buradaki fikir, bir blog yöneticisi bir web sitesinde oturum açtığında, tarayıcısının, her yeni sayfada kimlik doğrulaması yapmak zorunda kalmadan tüm idari görevlerini yerine getirmesine olanak tanıyan çerezler içermesidir.”
“Dolayısıyla, tarayıcıları yönetici etkinliğini taklit etmeye çalışan bir komut dosyası yüklerse, WordPress yönetici arayüzü aracılığıyla yapılabilecek hemen hemen her şeyi yapabilecektir.”
Yeni dalga da bir istisna değil, çünkü oturum açmış yönetici çerezleri tespit edilirse, sahte bir arka kapı eklentisini (“wp-felody.php” veya “Wp Felody”) yükleyip etkinleştirmek için yükseltilmiş ayrıcalıkları silah haline getirerek ikinci bir güvenlik önlemi getirir. Yukarıda belirtilen etki alanından -stage yükü.
Diğer bir arka kapı olan payload ise “sasas” adı altında depolanıyor. geçici dosyaların saklandığı dizindaha sonra yürütülür ve diskten silinir.
Sinegubko, “Geçerli sitenin kök dizinini ve aynı sunucu hesabını paylaşabilecek diğer siteleri arayarak, geçerli dizinin üç düzeyine kadar kontrol ediyor” dedi.
“Daha sonra, tespit edilen site kök dizinlerinde, wp-blog-header.php dosyasını değiştirerek, Popup Builder güvenlik açığı aracılığıyla orijinal olarak enjekte edilen Balada JavaScript kötü amaçlı yazılımın aynısını enjekte edecek.”