Πάνω από 17.000 ιστότοποι WordPress παραβιάστηκαν τον Σεπτέμβριο.

Σύμφωνα με το The Hacker News , έως και 9.000 ιστότοποι έχουν παραβιαστεί μέσω ενός πρόσφατα αποκαλυφθέντος ευάλωτου σημείου ασφαλείας στο πρόσθετο tagDiv Composer για WordPress. Αυτό το ελάττωμα επιτρέπει στους χάκερ να εισάγουν κακόβουλο κώδικα στον πηγαίο κώδικα εφαρμογών ιστού χωρίς έλεγχο ταυτότητας.

Οι ερευνητές ασφαλείας της Sucuri λένε ότι δεν είναι η πρώτη φορά που η ομάδα Balada Injector στοχεύει σε ευπάθειες σε θέματα tagDiv. Μια μεγάλης κλίμακας μόλυνση από κακόβουλο λογισμικό σημειώθηκε το καλοκαίρι του 2017, όταν δύο δημοφιλή θέματα WordPress, το Newspaper και το Newsmag, αξιοποιήθηκαν ενεργά από χάκερ.

Το Balada Injector είναι μια επιχείρηση μεγάλης κλίμακας που εντοπίστηκε για πρώτη φορά από τον Doctor Web τον Δεκέμβριο του 2022, στην οποία η ομάδα εκμεταλλεύτηκε πολλαπλά τρωτά σημεία σε πρόσθετα του WordPress για να αναπτύξει backdoors σε παραβιασμένα συστήματα.

Ο κύριος σκοπός αυτών των δραστηριοτήτων είναι να ανακατευθύνουν τους χρήστες που έχουν πρόσβαση σε παραβιασμένους ιστότοπους σε σελίδες τεχνικής υποστήριξης, ψεύτικα αποτελέσματα λαχειοφόρων αγορών και δόλιες ειδοποιήσεις. Πάνω από 1 εκατομμύριο ιστότοποι έχουν επηρεαστεί από το Balada Injector από το 2017.

Οι κύριες δραστηριότητες αφορούσαν την εκμετάλλευση της ευπάθειας CVE-2023-3169 για την εισαγωγή κακόβουλου κώδικα και την απόκτηση πρόσβασης σε ιστότοπους εγκαθιστώντας backdoors, προσθέτοντας κακόβουλα πρόσθετα (plugins) και δημιουργώντας διαχειριστές για τον έλεγχο του ιστότοπου.

Η Sucuri περιγράφει αυτό ως έναν εξελιγμένο τύπο αυτοματοποιημένης επίθεσης που μιμείται τη διαδικασία εγκατάστασης plugins από αρχεία ZIP και την ενεργοποίησή τους. Τα κύματα επιθέσεων που παρατηρήθηκαν στα τέλη Σεπτεμβρίου 2023 χρησιμοποίησαν τυχαία έγχυση κώδικα για τη λήψη και την εκκίνηση κακόβουλου λογισμικού από απομακρυσμένους διακομιστές για την εγκατάσταση του plugin wp-zexit σε στοχευμένους ιστότοπους WordPress.