Im September wurden über 17.000 WordPress-Websites kompromittiert.

Laut The Hacker News wurden bereits bis zu 9.000 Websites durch eine kürzlich aufgedeckte Sicherheitslücke im WordPress-Plugin tagDiv Composer kompromittiert. Diese Schwachstelle ermöglicht es Hackern, ohne Authentifizierung Schadcode in den Quellcode von Webanwendungen einzuschleusen.

Sicherheitsforscher von Sucuri geben an, dass dies nicht das erste Mal ist, dass die Balada-Injector-Gruppe Schwachstellen in tagDiv-Themes ausnutzt. Im Sommer 2017 kam es zu einer großflächigen Malware-Infektion, bei der zwei beliebte WordPress-Themes, Newspaper und Newsmag, aktiv von Hackern missbraucht wurden.

Balada Injector ist eine groß angelegte Operation, die erstmals im Dezember 2022 von Doctor Web entdeckt wurde. Dabei nutzte die Gruppe mehrere Schwachstellen in WordPress-Plugins aus, um Hintertüren auf kompromittierten Systemen zu installieren.

Hauptzweck dieser Aktivitäten ist es, Nutzer, die auf kompromittierte Webseiten zugreifen, auf Seiten mit technischem Support, gefälschte Lottoergebnisse und betrügerische Benachrichtigungen umzuleiten. Seit 2017 wurden über eine Million Webseiten von Balada Injector betroffen.

Die wichtigsten Aktivitäten bestanden darin, die Sicherheitslücke CVE-2023-3169 auszunutzen, um Schadcode einzuschleusen und sich Zugang zu Webseiten zu verschaffen, indem Hintertüren installiert, schädliche Plugins hinzugefügt und Administratoren zur Kontrolle der Webseite erstellt wurden.

Sucuri beschreibt dies als eine ausgeklügelte Art von automatisiertem Angriff, der die Installation und Aktivierung von Plugins aus ZIP-Archiven imitiert. Die Ende September 2023 beobachteten Angriffswellen nutzten zufälliges Code-Injection, um Schadsoftware von entfernten Servern herunterzuladen und auszuführen und so das wp-zexit-Plugin auf den anvisierten WordPress-Websites zu installieren.