Birden fazla Balada enjektör kampanyası, premium tema eklentilerinde bilinen kusurları kullanarak 17.000'den fazla WordPress sitesini tehlikeye attı ve enfekte etti.
Balada Enjektör, Aralık 2022'de Dr. Web tarafından keşfedilen ve bilinen WordPress eklentisi ve bir Linux arka kapısı enjekte etmek için tema kusurları için çeşitli istismarlardan yararlanan büyük bir operasyondur.
Arka kapı, tehlikeye atılan web sitelerinin ziyaretçilerini sahte teknoloji destek sayfalarına, hileli piyango galibiyetlerine ve bildirim dolandırıcılıklarına yönlendirir, bu nedenle ya aldatma kampanyalarının bir parçası ya da dolandırıcılara satılan bir hizmettir.
Nisan 2023'te Sucuri, Balada enjektörünün 2017'den beri aktif olduğunu ve yaklaşık bir milyon WordPress sitesini tehlikeye attığını tahmin etti.
Tehdit oyuncusu, Tagdiv'in gazetesi ve WordPress siteleri için gazete ve haber eşyası temaları için eşlik eden bir araç olan Tagdiv bestecisinde CVE-2023-3169 Siteler Arası Komut Dosyası (XSS) kusurundan yararlanıyor.
Public EnveToMarket istatistiklerine göre, gazetenin 18.500'den fazla 137.000 satış ve haber eşliği var, bu nedenle saldırı yüzeyi korsan kopyaları hesaba katmayan 155.500 web sitesi.
İkisi, genellikle sağlıklı operasyonları sürdüren ve önemli trafik alan gelişen çevrimiçi platformlar tarafından kullanılan premium (ücretli) temalardır.
CVE-2023-3169'u hedefleyen en son kampanya, güvenlik açığı ayrıntılarının açıklanmasından kısa bir süre sonra Eylül ortalarında başladı ve bir POC (kavram kanıtı sömürüsü) yayınlandı.
Bu saldırılar, Eylül ayı sonlarında BleepingComputer ile paylaşılan bir kampanya ile uyumlu, Reddit'te çok sayıda WordPress sitesinin WP-zexit.php adlı kötü niyetli bir eklenti ile enfekte olduğunu bildiriyor.
Bu eklenti, tehdit aktörlerinin /tmp /i dosyasına kaydedilecek ve yürütülecek PHP kodu uzaktan göndermesine izin verdi.
Saldırılar ayrıca, kullanıcıları saldırganın kontrolü altındaki siteleri dolandırmaya yönlendirecek şablonlara enjekte edilmesiyle de işaretlendi.
O zaman, bir Tagdiv temsilcisi kusurun farkında olduklarını doğruladı ve insanlara saldırıları önlemek için en son temayı kurmalarını söyledi.
Tagdiv, "Bu vakaların farkındayız. Kötü amaçlı yazılım, eski tema sürümlerini kullanarak web sitelerini etkileyebilir."
"Temayı güncellemenin yanı sıra, öneri hemen WordFence gibi bir güvenlik eklentisi kurmak ve web sitesini taramaktır. Ayrıca tüm web sitesi şifrelerini değiştirmek."
Sucuri'nin raporu kampanyaya yeni bir ışık tutuyor ve binlerce sitenin zaten tehlikeye atıldığını söyledi.
CVE-2023-3169 sömürüsünün karakteristik bir işareti, belirli etiketler içinde enjekte edilen kötü amaçlı bir komut dosyasıdır, ancak enjeksiyonun kendisi web sitesinin veritabanının 'WP_OPtions' tablosunda bulunabilir.
Sucuri, bazılarının varyantları olan ve aşağıda özetlenen altı ayrı saldırı dalgası gözlemledi:
Genel olarak Sucuri, Eylül 2023'te 17.000'den fazla WordPress sitesinde Balada enjektörünü tespit ettiğini ve CVE-2023-3169'dan yararlanarak yarısından fazlasını (9.000) elde ettiğini söyledi.
Saldırı dalgaları hızla optimize edildi, bu da tehdit aktörlerinin maksimum etki elde etmek için tekniklerini hızla uyarlayabildiğini gösteriyor.
Balada enjektörüne karşı savunmak için, Tagdiv besteci eklentisini 4.2 veya üstüne yükseltmeniz önerilir ve bu da belirtilen güvenlik açığını ele alır.
Ayrıca, tüm temalarınızı ve eklentilerinizi güncel tutun, hareketsiz kullanıcı hesaplarını kaldırın ve dosyalarınızı gizli backroors için tarayın.
Sucuri'nin ücretsiz erişim tarayıcısı çoğu Balada enjektör varyantlarını algılar, bu nedenle WordPress kurulumunuzu uzlaşma için taramak için kullanmak isteyebilirsiniz.
WordPress Taşıma Eklentisi Kalıp veri ihlallerine yol açabilir
Jüpiter X Core WordPress eklentisi, bilgisayar korsanlarının Siteleri Kaçak'a İzin Verebilir
FTC, 2021'den beri sosyal medya dolandırıcılıklarına 'şaşırtıcı' kayıplar konusunda uyarıyor
FBI, yaşlıları etkileyen 'Phantom Hacker' dolandırıcılarında dalgalanma konusunda uyarıyor
Sahte ünlü fotoğraf sızıntı videoları TEMU Tavsiye Kodları ile Sel Tiktok
Kaynak: Bleeping Computer