I ricercatori di Sucuri hanno rilevato una nuova campagna malware che prende di mira i siti WordPress. Ancora una volta, i cybercriminali hanno sfruttato una vulnerabilità del plugin Popup Builder, come avvenuto nel mese di gennaio. Purtroppo esistono migliaia di siti che non sono stati aggiornati dagli amministratori.
Balada Injector ha infettato oltre 3.300 siti
Popup Builder è un plugin molto popolare (oltre 200.000 installazioni) che permette di visualizzare vari tipi di pop-up per scopi informativi, funzionali e pubblicitari. La vulnerabilità, indicata con CVE-2023-6000 e presente fino alla versione 4.2.3, è stata sfruttata a gennaio per infettare oltre 6.700 siti WordPress.
Gli esperti di Sucuri hanno rilevato che, a partire da circa tre settimane, è in corso una nuova campagna malware che sfrutta la stessa vulnerabilità XSS (cross-site scripting) del plugin Popup Builder. È quindi evidente la poca attenzione riservata alla sicurezza da parte degli amministratori. I siti infettati sono oltre 3.300.
Il codice di Balada Injector viene iniettato nelle sezioni Custom CSS o Custom JavaScript CSS dell’interfaccia di amministratore e memorizzato in una tabella del database. Il malware viene eseguito quando il plugin apre o chiude i pop-up. In molti casi, il visitatore viene reindirizzato verso siti di phishing o che ospitano altri malware.
Ovviamente, il consiglio è aggiornare il plugin (l’ultima versione è 4.2.7). Se il codice infetto è già presente, gli amministratori devono eliminare le suddette sezioni (ma è una soluzione temporanea, se viene usata una versione vulnerabile di Popup Builder).