Más de 17.000 sitios web de WordPress se vieron comprometidos en septiembre.

Según The Hacker News , hasta 9000 sitios web se han visto comprometidos debido a una vulnerabilidad de seguridad recientemente descubierta en el plugin tagDiv Composer para WordPress. Esta falla permite a los hackers inyectar código malicioso en el código fuente de aplicaciones web sin autenticación.

Los investigadores de seguridad de Sucuri afirman que esta no es la primera vez que el grupo Balada Injector ataca vulnerabilidades en temas tagDiv. Una infección de malware a gran escala ocurrió en el verano de 2017, cuando dos populares temas de WordPress, Newspaper y Newsmag, fueron explotados activamente por hackers.

Balada Injector es una operación a gran escala detectada por primera vez por Doctor Web en diciembre de 2022, en la que el grupo explotó múltiples vulnerabilidades en los complementos de WordPress para implementar puertas traseras en sistemas comprometidos.

El objetivo principal de estas actividades es redirigir a los usuarios que acceden a sitios web comprometidos a páginas de soporte técnico, resultados de lotería falsos y notificaciones fraudulentas. Más de un millón de sitios web se han visto afectados por Balada Injector desde 2017.

Las principales actividades implicaron la explotación de la vulnerabilidad CVE-2023-3169 para inyectar código malicioso y establecer acceso a sitios web mediante la instalación de puertas traseras, la adición de complementos maliciosos y la creación de administradores para controlar el sitio.

Sucuri describe esto como un sofisticado tipo de ataque automatizado que imita el proceso de instalación y activación de plugins desde archivos ZIP. Las oleadas de ataques observadas a finales de septiembre de 2023 utilizaron la inyección aleatoria de código para descargar y ejecutar malware desde servidores remotos e instalar el plugin wp-zexit en sitios web de WordPress específicos.