Hacker haben eine Schwachstelle in veralteten Versionen des Popup Builder-Plugins für WordPress ausgenutzt, um mehr als 3.300 Websites mit bösartigem Code zu infizieren. Die genutzte Schwachstelle, bekannt als CVE-2023-6000, betrifft Popup Builder-Versionen 4.2.3 und älter und wurde erstmals im November 2023 offengelegt.
Eine Kampagne namens Balada Injector, die zu Beginn des Jahres entdeckt wurde, nutzte diese spezifische Schwachstelle bereits, um über 6.700 Websites zu infizieren, was darauf hindeutet, dass viele Seitenadministratoren nicht schnell genug gepatcht hatten. Sucuri berichtet nun von einer neuen Kampagne mit einem bemerkenswerten Anstieg in den letzten drei Wochen, die auf dieselbe Schwachstelle im WordPress-Plugin abzielt.
Die bösartigen Code-Einschleusungen sind auf 3.329 WordPress-Seiten zu finden, wobei Sucuris eigene Scanner 1.170 Infektionen erkannt haben. Der injizierte Code zielt darauf ab, als Ereignishandler für verschiedene Popup Builder-Plugin-Ereignisse zu fungieren, was zur Ausführung bösartigen Codes bei bestimmten Aktionen des Plugins führt, wie beim Öffnen oder Schließen eines Popups.
Die primäre Funktion der Injektionen scheint darin zu bestehen, Besucher infizierter Seiten auf bösartige Ziele wie Phishing-Seiten und Malware-Drop-Sites umzuleiten. Zur Verteidigung wird empfohlen, die Domains „ttincoming.traveltraffic[.]cc“ und „host.cloudsonicwave[.]com“ zu blockieren und das Popup Builder-Plugin auf die neueste Version, derzeit 4.2.7, zu aktualisieren, die CVE-2023-6000 und andere Sicherheitsprobleme adressiert.
WordPress-Statistiken zeigen, dass mindestens 80.000 aktive Seiten derzeit Popup Builder 4.1 und ältere Versionen verwenden, sodass die Angriffsfläche erheblich bleibt. Im Falle einer Infektion beinhaltet die Entfernung das Löschen bösartiger Einträge aus den benutzerdefinierten Abschnitten des Popup Builders und das Scannen nach versteckten Hintertüren, um eine erneute Infektion zu verhindern.