Hackerparagraph,IT-Security, Linux (Bild © DALL-E)
Sucuri, ein Web-Sicherheitsunternehmen, hat kürzlich einen deutlichen Anstieg von Angriffen festgestellt, die diese Schwachstelle ausnutzen, was einen besorgniserregenden Trend von gezielten Angriffen auf das WordPress-Plugin in den letzten drei Wochen darstellt. PublicWWW-Daten zufolge hat diese neue Welle dazu geführt, dass 3.329 WordPress-Websites infiziert wurden, wobei Sucuri 1.170 dieser Fälle entdeckt hat.
JavaSctipt Schadcode
Die Angreifer fügen auf geschickte Weise Schadcode in die Bereiche Custom JavaScript oder Custom CSS des WordPress-Dashboards ein. Dieser Code ist so konzipiert, dass er bei bestimmten Ereignissen, die vom Popup Builder Plugin ausgelöst werden, wie z. B. dem Öffnen oder Schließen von Popups, ausgeführt wird und so die bösartigen Skripte aktiviert.
Die Hauptfunktion des eingefügten Codes liegt darin, Ereignishandler für verschiedene Popup Builder Plugin-Ereignisse zu platzioeren, so zum Beispiel 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' und 'sgpb-DidClose'.
In einigen Fällen wurden die Angreifer dabei beobachtet, wie sie den bösartigen Code nutzen, um Besucher auf Phishing-Seiten oder andere schädliche Seiten umzuleiten. Dies wird oft erreicht, indem eine Umleitungs-URL in ein Popup eingefügt wird, die dann zusätzliche bösartige Skripte von einer externen Quelle abruft und ausführt.
Mitigation: Popup Builder Updaten
Um sich vor diesen Angriffen zu schützen, sollten Website-Betreiber die identifizierten bösartigen Domains sofort blockieren und sicherstellen, dass das Popup Builder Plugin auf die neueste Version 4.2.7 aktualisiert wurde. Diese Version behebt die XSS-Schwachstelle zusammen mit anderen Sicherheitslücken.
Angesichts der Tatsache, dass über 80.000 aktive Websites immer noch mit anfälligen Versionen des Plugins arbeiten, ist das Potenzial für weitere Angriffe nach wie vor hoch. Website-Betreiber, die von dieser Angriffswelle betroffen sind, müssen alle eingefügten bösartigen Einträge entfernen und eine gründliche Überprüfung auf versteckte Hintertüren durchführen, um weitere Infektionen zu verhindern.