Im September wurden mehr als 17.000 WordPress-Websites gehackt.

Laut The Hacker News wurden bis zu 9.000 Websites durch eine kürzlich aufgedeckte Sicherheitslücke im tagDiv Composer-Plugin der WordPress-Plattform kompromittiert. Dieser Fehler ermöglicht es Hackern ohne Authentifizierung, Schadcode in den Quellcode der Webanwendung einzuschleusen.

Die Sicherheitsforscher von Sucuri geben an, dass dies nicht das erste Mal ist, dass die Balada-Injector-Gruppe Schwachstellen in tagDiv-Themes ausnutzt. Im Sommer 2017 kam es zu einer großflächigen Malware-Infektion, bei der zwei beliebte WordPress-Themes, Newspaper und Newsmag, aktiv von Hackern missbraucht wurden.

Balada Injector ist eine groß angelegte Operation, die erstmals im Dezember 2022 von Doctor Web entdeckt wurde. Dabei nutzte die Gruppe mehrere Sicherheitslücken in WordPress-Plugins aus, um Hintertüren auf kompromittierten Systemen zu installieren.

Hauptzweck dieser Aktivitäten ist es, Besucher kompromittierter Webseiten auf gefälschte Supportseiten, Seiten mit angeblichen Lottogewinnen und Betrugsanzeigen umzuleiten. Seit 2017 wurden über eine Million Webseiten von Balada Injector betroffen.

Bei den wichtigsten Operationen wurde die Sicherheitslücke CVE-2023-3169 ausgenutzt, um Schadcode einzuschleusen und sich Zugang zu Webseiten zu verschaffen, indem Hintertüren installiert, schädliche Plugins hinzugefügt und Administratoren zur Kontrolle der Webseite erstellt wurden.

Sucuri beschreibt dies als einen der raffiniertesten Angriffe, der von einem automatisierten Programm ausgeführt wird, das die Installation eines Plugins aus einem ZIP-Archiv imitiert und dieses aktiviert. Die Ende September 2023 beobachteten Angriffswellen nutzten die Einschleusung von zufälligem Code, um Schadsoftware von entfernten Servern herunterzuladen und auszuführen und so das wp-zexit-Plugin auf den anvisierten WordPress-Websites zu installieren.