Les pirates piratent les sites WordPress en exploitant une vulnérabilité dans les versions obsolètes du plugin Popup Builder, infectant plus de 3 300 sites Web avec du code malveillant.
La faille exploitée dans les attaques est suivie sous le nom de CVE-2023-6000, une vulnérabilité de script intersite (XSS) affectant les versions 4.2.3 et antérieures de Popup Builder, qui a été initialement divulguée en novembre 2023.
Une campagne Balada Injector découverte au début de l’année a exploité la vulnérabilité particulière pour infecter plus de 6 700 sites Web, indiquant que de nombreux administrateurs de sites n’avaient pas corrigé assez rapidement.
Sucuri rapporte maintenant avoir repéré une nouvelle campagne avec une légère hausse notable au cours des trois dernières semaines, ciblant la même vulnérabilité sur le plugin WordPress.
Selon les résultats de PublicWWW, des injections de code liées à cette dernière campagne se trouvent sur 3 329 sites WordPress, les propres scanners de Sucuri détectant 1 170 infections.
Détails d’injection
Les attaques infectent les sections JavaScript personnalisées ou CSS personnalisées de l’interface d’administration WordPress, tandis que le code malveillant est stocké dans la table de base de données ‘wp_postmeta’.
La fonction principale du code injecté est d’agir en tant que gestionnaires d’événements pour divers événements de plugin de générateur de fenêtres contextuelles, tels que ‘sgpb-ShouldOpen’, ‘sgpb-ShouldClose’, ‘sgpb-WillOpen’, ‘sgpbDidOpen’, ‘sgpbWillClose’ et ‘sgpb-DidClose.’
En faisant cela, le code malveillant s’exécute à des actions spécifiques du plugin, comme lorsqu’une fenêtre contextuelle s’ouvre ou se ferme.
Sucuri dit que les actions exactes du code peuvent varier, mais le but principal des injections semble être de rediriger les visiteurs des sites infectés vers des destinations malveillantes telles que des pages de phishing et des sites de suppression de logiciels malveillants.
Plus précisément, dans certaines infections, les analystes ont observé que le code injectait une URL de redirection (hxxp: / / ttincoming.trafic de voyage[.] cc/?trafic) en tant que paramètre ‘redirect-url’ pour une fenêtre contextuelle « contact-form-7 ».
L’injection ci-dessus récupère l’extrait de code malveillant à partir d’une source externe et l’injecte dans la tête de la page Web pour exécution par le navigateur.
En pratique, il est possible pour les attaquants d’atteindre une série d’objectifs malveillants grâce à cette méthode, dont beaucoup sont potentiellement plus graves que les redirections.
Défendre
Les attaques proviennent des domaines » tt incoming.travel trafic[.] cc » et » hôte.onde sonore des nuages[.] viens, » il est donc recommandé de bloquer ces deux-là.
Si vous utilisez le plugin Popup Builder sur votre site, effectuez une mise à niveau vers la dernière version, actuellement 4.2.7, qui résout CVE-2023-6000 et d’autres problèmes de sécurité.
Les statistiques de WordPress montrent qu’au moins 80 000 sites actifs utilisent actuellement PopupBuilder 4.1 et versions antérieures, de sorte que la surface d’attaque reste importante.
Dans le cas d’une infection, la suppression implique la suppression des entrées malveillantes des sections personnalisées du générateur de fenêtres contextuelles et la recherche de portes dérobées cachées pour empêcher la réinfection.