Campanha de Malware Explora Plugin do WordPress Popup Builder para Infectar mais de 3.900 Sites
12 de Março de 2024

Uma nova campanha de malware está explorando uma grave falha de segurança no plugin Popup Builder para WordPress para injetar código JavaScript malicioso.

Segundo a Sucuri, a campanha infectou mais de 3.900 sites nas últimas três semanas.

"Esses ataques são orquestrados a partir de domínios com menos de um mês de idade, com registros datando de 12 de fevereiro de 2024", disse o pesquisador de segurança Puja Srivastava em relatório de 7 de março.

As sequências de infecção envolvem a exploração de CVE-2023-6000 , uma vulnerabilidade de segurança no Popup Builder que pode ser explorada para criar usuários administradores desonestos e instalar plugins arbitrários.

A deficiência foi explorada como parte de uma campanha do Balada Injector no início de janeiro, comprometendo nada menos que 7000 sites.

O último conjunto de ataques leva à injeção de código malicioso, que vem em duas variantes diferentes e tem como objetivo redirecionar os visitantes do site para outros sites, como páginas de phishing e scams.

Os donos de sites do WordPress são aconselhados a manter seus plugins atualizados, bem como a escanear seus sites em busca de qualquer código ou usuário suspeito e executar a limpeza adequada.

"Esta nova campanha de malware serve como um forte lembrete dos riscos de não manter seu software de site atualizado e corrigido", disse Srivastava.

Essa ocorrência surge no momento em que a empresa de segurança do WordPress, Wordfence, divulgou um bug de alta gravidade em outro plugin conhecido como Ultimate Member, que pode ser usado para injetar scripts maliciosos na web.

A falha de cross-site scripting (XSS), rastreada como CVE-2024-2123 (pontuação CVSS: 7,2), afeta todas as versões do plugin, incluindo e anteriores à 2.8.3.

Ela foi corrigida na versão 2.8.4, lançada em 6 de março de 2024.

A falha decorre da insuficiente sanitização de entrada e escape de saída, permitindo que invasores não autenticados injetem scripts arbitrários da web em páginas que serão executadas sempre que um usuário as visitar.

"Somado ao fato de que a vulnerabilidade pode ser explorada por invasores sem privilégios em um site vulnerável, isso significa que há uma alta chance de invasores não autenticados conseguirem acesso de usuário administrativo em sites que executam a versão vulnerável do plugin quando explorada com sucesso", disse Wordfence.

Vale ressaltar que os mantenedores do plugin abordaram uma falha semelhante (CVE-2024-1071, pontuação CVSS: 9,8) na versão 2.8.3 lançada em 19 de fevereiro.

Segue-se também a descoberta de uma vulnerabilidade de upload de arquivo arbitrário no tema do WordPress Avada ( CVE-2024-1468 , pontuação CVSS: 8,8) e possivelmente executa código malicioso remotamente.

Foi resolvido na versão 7.11.5.

"Isso torna possível para os invasores autenticados, com acesso de nível de colaborador e acima, fazer o upload de arquivos arbitrários no servidor do site afetado, o que pode possibilitar a execução de código remoto", disse Wordfence.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...