Más de 17.000 sitios web de WordPress se vieron comprometidos en septiembre.

Según The Hacker News , hasta 9000 sitios web se han visto comprometidos debido a una vulnerabilidad de seguridad recientemente descubierta en el plugin tagDiv Composer para WordPress. Esta falla permite a los hackers inyectar código malicioso en el código fuente de las aplicaciones web sin autenticación.

Según investigadores de seguridad de Sucuri, no es la primera vez que el grupo Balada Injector ataca vulnerabilidades en temas tagDiv. En el verano de 2017 se produjo una infección de malware a gran escala, cuando dos temas populares de WordPress, Newspaper y Newsmag, fueron explotados activamente por hackers.

Balada Injector es una operación a gran escala detectada por primera vez por Doctor Web en diciembre de 2022, en la que el grupo explotó múltiples vulnerabilidades en los complementos de WordPress para desplegar puertas traseras en sistemas comprometidos.

El objetivo principal de estas actividades es redirigir a los usuarios que acceden a sitios web comprometidos a páginas de soporte técnico, resultados falsos de lotería y notificaciones fraudulentas. Más de un millón de sitios web se han visto afectados por Balada Injector desde 2017.

Las principales actividades consistieron en explotar la vulnerabilidad CVE-2023-3169 para inyectar código malicioso y obtener acceso a sitios web mediante la instalación de puertas traseras, la adición de complementos maliciosos y la creación de administradores para controlar el sitio.

Sucuri describe esto como un tipo sofisticado de ataque automatizado que imita el proceso de instalación y activación de plugins desde archivos ZIP. Las oleadas de ataques observadas a finales de septiembre de 2023 utilizaron la inyección aleatoria de código para descargar y ejecutar malware desde servidores remotos e instalar el plugin wp-zexit en sitios web WordPress específicos.