V září bylo napadeno přes 17 000 webů na WordPressu.

Podle serveru The Hacker News bylo až 9 000 webových stránek napadeno nedávno odhalenou bezpečnostní zranitelností v pluginu tagDiv Composer pro WordPress. Tato chyba umožňuje hackerům vkládat škodlivý kód do zdrojového kódu webových aplikací bez nutnosti ověření.

Bezpečnostní výzkumníci ze společnosti Sucuri tvrdí, že to není poprvé, co se skupina Balada Injector zaměřila na zranitelnosti v šablonách tagDiv. K rozsáhlé infekci malwarem došlo v létě 2017, kdy hackeři aktivně zneužili dvě populární šablony WordPressu, Newspaper a Newsmag.

Balada Injector je rozsáhlá operace, kterou společnost Doctor Web poprvé odhalila v prosinci 2022. Skupina při ní zneužila několik zranitelností v pluginech WordPressu k nasazení zadních vrátek na napadených systémech.

Hlavním účelem těchto aktivit je přesměrovat uživatele, kteří přistupují k napadeným webovým stránkám, na stránky technické podpory, falešné výsledky loterií a podvodná oznámení. Od roku 2017 byl virem Balada Injector zasažen více než milion webových stránek.

Hlavní aktivity zahrnovaly zneužití zranitelnosti CVE-2023-3169 k vložení škodlivého kódu a získání přístupu k webovým stránkám instalací zadních vrátek, přidáním škodlivých pluginů a vytvořením administrátorských oprávnění pro správu webu.

Sucuri to popisuje jako sofistikovaný typ automatizovaného útoku, který napodobuje proces instalace pluginů ze ZIP archivů a jejich aktivace. Vlny útoků pozorované koncem září 2023 používaly náhodné vkládání kódu ke stahování a spouštění malwaru ze vzdálených serverů za účelem instalace pluginu wp-zexit na cílené webové stránky WordPressu.