Hackers estão violando sites do WordPress ao explorar uma vulnerabilidade em versões desatualizadas do plugin Popup Builder, infectando mais de 3.300 sites com código malicioso.
A falha utilizada nos ataques é rastreada como
CVE-2023-6000
, uma vulnerabilidade de cross-site scripting (XSS) que afeta as versões 4.2.3 e anteriores do Popup Builder, a qual foi inicialmente divulgada em novembro de 2023.
Uma campanha do Balada Injector descoberta no início do ano explorou esta vulnerabilidade em particular para infectar mais de 6.700 sites, indicando que muitos administradores de sites não se atualizaram rapidamente.
A Sucuri agora relata ter identificado uma nova campanha com um aumento notável nas últimas três semanas, visando a mesma vulnerabilidade no plugin do WordPress.
De acordo com os resultados da PublicWWW, as injeções de código ligadas a esta última campanha foram encontradas em 3.329 sites do WordPress, com scanners próprios da Sucuri detectando 1.170 infecções.
Os ataques infectam as seções de JavaScript personalizado ou CSS personalizado na interface de administração do WordPress, enquanto o código malicioso é armazenado na tabela de banco de dados 'wp_postmeta'.
A função principal do código injetado é agir como manipuladores de eventos para vários eventos do plugin Popup Builder, como 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' e 'sgpb-DidClose'.
Ao fazer isso, o código malicioso é executado em ações específicas do plugin, como quando um popup abre ou fecha.
Sucuri diz que as ações exatas do código podem variar, mas o principal objetivo das injeções parece ser redirecionar os visitantes de sites infectados para destinos maliciosos, como páginas de phishing e sites que distribuem malwares.
Especificamente, em algumas infecções, os analistas observaram o código injetando um URL de redirecionamento (hxxp://ttincoming.traveltraffic[.]cc/?traffic) como o parâmetro 'redirect-url' para um popup "contact-form-7".
A injeção acima recupera o fragmento de código malicioso de uma fonte externa e o injeta no cabeçalho da página da web para execução pelo navegador.
Na prática, é possível que os atacantes atinjam uma série de objetivos maliciosos através deste método, muitos dos quais possivelmente mais graves do que redirecionamentos.
Os ataques provêm dos domínios "ttincoming.traveltraffic[.]cc" e "host.cloudsonicwave[.]com", por isso é recomendável bloquear ambos.
Se você está usando o plugin Popup Builder em seu site, atualize para a versão mais recente, atualmente 4.2.7, que aborda o
CVE-2023-6000
e outros problemas de segurança.
As estatísticas do WordPress mostram que pelo menos 80.000 sites ativos atualmente usam o Popup Builder 4.1 e versões anteriores, portanto, a superfície de ataque ainda é significativa.
No caso de uma infecção, a remoção envolve a exclusão de entradas maliciosas das seções personalizadas do Popup Builder e a varredura em busca de backdoors ocultos para prevenir reinfecção.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...