Más de 17.000 sitios web de WordPress fueron hackeados en septiembre.

Según The Hacker News , hasta 9.000 sitios web se han visto comprometidos debido a una vulnerabilidad de seguridad recientemente descubierta en el plugin tagDiv Composer de la plataforma WordPress. Este error permite a los hackers, sin necesidad de autenticación, insertar código malicioso en el código fuente de la aplicación web.

Los investigadores de seguridad de Sucuri afirman que no es la primera vez que el grupo Balada Injector explota vulnerabilidades en los temas de tagDiv. En el verano de 2017 se produjo una infección de malware a gran escala, en la que dos populares temas de WordPress, Newspaper y Newsmag, fueron explotados activamente por hackers.

Balada Injector es una operación a gran escala detectada por primera vez por Doctor Web en diciembre de 2022, en la que el grupo explotó múltiples vulnerabilidades de complementos de WordPress para desplegar puertas traseras en sistemas comprometidos.

El objetivo principal de estas actividades es redirigir a los visitantes de sitios web comprometidos a páginas falsas de soporte técnico, páginas de premios de lotería y anuncios de estafas. Más de un millón de sitios web se han visto afectados por Balada Injector desde 2017.

Las operaciones principales consistieron en explotar la vulnerabilidad CVE-2023-3169 para inyectar código malicioso y establecer acceso a sitios web mediante la instalación de puertas traseras, la adición de complementos maliciosos y la creación de administradores para controlar el sitio web.

Sucuri describe este ataque como uno de los más sofisticados, llevado a cabo por un programa automatizado que simula la instalación de un plugin desde un archivo ZIP y lo activa. Las oleadas de ataques observadas a finales de septiembre de 2023 utilizaron inyección de código aleatorio para descargar y ejecutar malware desde servidores remotos, instalando así el plugin wp-zexit en sitios web de WordPress específicos.