بیش از ۱۷۰۰۰ وب‌سایت وردپرس در ماه سپتامبر مورد حمله قرار گرفتند.

طبق گزارش The Hacker News ، بیش از ۹۰۰۰ وب‌سایت از طریق یک آسیب‌پذیری امنیتی که اخیراً در افزونه tagDiv Composer برای وردپرس افشا شده است، در معرض خطر قرار گرفته‌اند. این نقص به هکرها اجازه می‌دهد تا بدون احراز هویت، کد مخرب را به کد منبع برنامه‌های وب تزریق کنند.

محققان امنیتی در Sucuri می‌گویند این اولین باری نیست که گروه Balada Injector آسیب‌پذیری‌های موجود در تم‌های tagDiv را هدف قرار می‌دهد. یک آلودگی بدافزاری در مقیاس بزرگ در تابستان ۲۰۱۷ رخ داد، زمانی که دو تم محبوب وردپرس، Newspaper و Newsmag، به طور فعال توسط هکرها مورد سوء استفاده قرار گرفتند.

Balada Injector یک عملیات در مقیاس بزرگ است که اولین بار توسط Doctor Web در دسامبر 2022 شناسایی شد، که در آن این گروه از چندین آسیب‌پذیری در افزونه‌های وردپرس برای استقرار درهای پشتی در سیستم‌های آسیب‌پذیر سوءاستفاده کرد.

هدف اصلی این فعالیت‌ها، هدایت کاربرانی است که به وب‌سایت‌های آلوده دسترسی دارند و آنها را به صفحات پشتیبانی فنی، نتایج قرعه‌کشی جعلی و اعلان‌های کلاهبرداری هدایت می‌کنند. از سال ۲۰۱۷ تاکنون بیش از ۱ میلیون وب‌سایت تحت تأثیر Balada Injector قرار گرفته‌اند.

فعالیت‌های اصلی شامل سوءاستفاده از آسیب‌پذیری CVE-2023-3169 برای تزریق کد مخرب و ایجاد دسترسی به وب‌سایت‌ها با نصب درهای پشتی، افزودن افزونه‌های مخرب و ایجاد مدیران برای کنترل سایت بود.

Sucuri این را به عنوان یک نوع حمله خودکار پیچیده توصیف می‌کند که فرآیند نصب افزونه‌ها از آرشیوهای ZIP و فعال‌سازی آنها را تقلید می‌کند. موج حملات مشاهده شده در اواخر سپتامبر ۲۰۲۳ از تزریق کد تصادفی برای دانلود و اجرای بدافزار از سرورهای راه دور برای نصب افزونه wp-zexit در وب‌سایت‌های وردپرس هدف استفاده می‌کرد.