تعرضت الآلاف من مواقع WordPress التي تستخدم إصدارًا ضعيفًا من المكون الإضافي Popup Builder للاختراق من خلال برنامج ضار يسمى Balada Injector .

تم توثيق الحملة لأول مرة بواسطة Doctor Web في يناير 2023، وتتم الحملة في سلسلة من موجات الهجوم الدورية، واستغلال العيوب الأمنية في المكونات الإضافية لـ WordPress لإدخال باب خلفي مصمم لإعادة توجيه زوار المواقع المصابة إلى صفحات دعم فني زائفة، وفوز اليانصيب الاحتيالي، وعمليات خداع الإشعارات. .

كشفت النتائج اللاحقة التي اكتشفها سوكوري عن النطاق الهائل للعملية ، التي قيل إنها كانت نشطة منذ عام 2017 واخترقت ما لا يقل عن مليون موقع منذ ذلك الحين.

وقالت شركة أمان مواقع الويب المملوكة لشركة GoDaddy، والتي اكتشفت أحدث نشاط لـ Balada Injector في 13 ديسمبر 2023، إنها حددت عمليات الحقن في أكثر من 7100 موقع .

تستفيد هذه الهجمات من خلل شديد الخطورة في Popup Builder ( CVE-2023-6000 ، درجة CVSS: 8.8) - وهو مكون إضافي يحتوي على أكثر من 200000 عملية تثبيت نشطة - تم الكشف عنها علنًا بواسطة WPScan في اليوم السابق. تمت معالجة المشكلة في الإصدار 4.2.3.

وقال مارك مونتباس، الباحث في WPScan: "عند استغلال هذه الثغرة الأمنية بنجاح، قد تسمح للمهاجمين بتنفيذ أي إجراء يُسمح للمسؤول الذي سجل الدخول الذي استهدفوه بالقيام به على الموقع المستهدف، بما في ذلك تثبيت مكونات إضافية عشوائية وإنشاء مستخدمين مسؤولين مارقين جدد" .

الهدف النهائي للحملة هو إدراج ملف JavaScript ضار مستضاف على موقع Specialcraftbox[.]com واستخدامه للتحكم في موقع الويب وتحميل JavaScript إضافي لتسهيل عمليات إعادة التوجيه الضارة.

علاوة على ذلك، من المعروف أن الجهات الفاعلة في مجال التهديد التي تقف وراء Balada Injector تنشئ سيطرة مستمرة على المواقع المخترقة عن طريق تحميل أبواب خلفية، وإضافة مكونات إضافية ضارة، وإنشاء مديرين محتالين للمدونات.

يتم تحقيق ذلك غالبًا باستخدام عمليات حقن JavaScript لاستهداف مسؤولي الموقع الذين قاموا بتسجيل الدخول على وجه التحديد.

"الفكرة هي أنه عندما يقوم مسؤول مدونة بتسجيل الدخول إلى موقع ويب، فإن متصفحه يحتوي على ملفات تعريف الارتباط التي تسمح له بالقيام بجميع مهامه الإدارية دون الحاجة إلى مصادقة نفسه في كل صفحة جديدة"، كما أشار الباحث في سوكوري دينيس سينيجوبكو العام الماضي.

"لذلك، إذا قام متصفحهم بتحميل برنامج نصي يحاول محاكاة نشاط المسؤول، فسيكون قادرًا على فعل أي شيء تقريبًا يمكن القيام به عبر واجهة إدارة WordPress."

الموجة الجديدة ليست استثناءً من حيث أنه إذا تم اكتشاف ملفات تعريف ارتباط المشرف التي تم تسجيل الدخول إليها، فإنها تستخدم الامتيازات المرتفعة كسلاح لتثبيت وتنشيط مكون إضافي مستتر ("wp-felody.php" أو "Wp Felody") وذلك لجلب حمولة المرحلة الثانية من الهجوم.

يتم حفظ الحمولة، وهي باب خلفي آخر، تحت اسم "ساساس" في الدليل حيث يتم تخزين الملفات المؤقتة، ثم يتم تنفيذها وحذفها من القرص.

بعد ذلك، يقوم البرنامج بفحص ما يصل إلى ثلاثة مستويات فوق الدليل الحالي، بحثًا عن الدليل الجذري للموقع الحالي وأي مواقع أخرى قد تشترك في نفس حساب الخادم.

ثم، في دلائل جذور المواقع المكتشفة، يقوم بتعديل ملف wp-blog-header.php لحقن برمجية Balada JavaScript الضارة نفسها التي تم حقنها أصلاً من خلال ثغرة Popup Builder.

المصدر: The Hacker News