11 декабря 2023 года WPScan опубликовал исследование Марка Монпаса о хранимой XSS-уязвимости в популярном плагине Popup Builder (200 000+ активных установок), которая была исправлена в версии 4.2.3.
Через несколько дней, 13 декабря, кампания Balada Injector начала заражать сайты со старыми версиями Popup Builder. Для атаки использовался свежезарегистрированный (13 декабря) домен specialcraftbox[.]com. На момент написания статьи PublicWWW обнаружил инъекцию на более чем 6 200 сайтах.
Indicators of Compromise
IPv4
- 134.209.192.77
- 185.177.94.152
- 204.11.56.48
- 80.66.79.248
Domains
- bestdarkbars.com
- bestlightbars.com
- blacklinetosplit.com
- blueperfectballon.com
- bluesmallbutterfly.com
- clearblueline.com
- cleargreenline.com
- clearlinesprice.com
- creativemanagercircle.com
- creativemanagerline.com
- darkspecialbars.com
- daynitroglass.com
- fine.greenfastline.com
- get.specialcraftbox.com
- goldflowerservice.com
- greenfastline.com
- greensmallbutterfly.com
- lightgreenstep.com
- lightredstep.com
- lightspecialbars.com
- nightnitroglass.com
- openspecificdark.com
- openspecificwhite.com
- redperfectballon.com
- rest.greenfastline.com
- service.specialcraftbox.com
- soft.specialcraftbox.com
- solohostering.com
- somenewforyou.com
- specialcraftbox.com
- stoneblacksort.com
- stonewhitesort.com
- sunshineblackcolor.com
- sunshinewhitecolor.com
- topgiftsforusers.com
- trackspecialdomain.com
- whitelinetosplit.com
- workandbestservice.com
- workandgoodservice.com