بیش از ۱۷۰۰۰ وب‌سایت وردپرس در ماه سپتامبر هک شدند

طبق گزارش The Hacker News ، تا ۹۰۰۰ وب‌سایت از طریق یک آسیب‌پذیری امنیتی که اخیراً در افزونه tagDiv Composer در پلتفرم وردپرس افشا شده است، در معرض خطر قرار گرفته‌اند. این آسیب‌پذیری به هکرها اجازه می‌دهد تا بدون احراز هویت، کد مخرب را در کد منبع برنامه وب وارد کنند.

محققان امنیتی Sucuri می‌گویند این اولین باری نیست که گروه Balada Injector آسیب‌پذیری‌های موجود در تم‌های tagDiv را هدف قرار می‌دهد. یک آلودگی بدافزاری در مقیاس بزرگ در تابستان ۲۰۱۷ رخ داد، زمانی که دو تم محبوب وردپرس، Newspaper و Newsmag، به طور فعال توسط هکرها مورد سوء استفاده قرار گرفتند.

Balada Injector یک عملیات در مقیاس بزرگ است که اولین بار توسط Doctor Web در دسامبر 2022 شناسایی شد، که در آن گروه از چندین آسیب‌پذیری افزونه وردپرس برای استقرار درهای پشتی در سیستم‌های آسیب‌پذیر سوءاستفاده کرد.

هدف اصلی این فعالیت‌ها، هدایت کاربرانی است که از وب‌سایت‌های آلوده بازدید می‌کنند به صفحات پشتیبانی فنی جعلی، صفحات برنده شدن در قرعه‌کشی و اطلاعیه‌های کلاهبرداری. از سال ۲۰۱۷، بیش از ۱ میلیون وب‌سایت تحت تأثیر Balada Injector قرار گرفته‌اند.

عملیات اصلی شامل سوءاستفاده از آسیب‌پذیری CVE-2023-3169 برای تزریق کد مخرب و ایجاد دسترسی به وب‌سایت‌ها با نصب درهای پشتی، افزودن افزونه‌های مخرب و ایجاد مدیران برای کنترل وب‌سایت بود.

Sucuri این را به عنوان یکی از پیچیده‌ترین حملات انجام شده توسط یک برنامه خودکار توصیف می‌کند که نصب یک افزونه را از یک بایگانی ZIP تقلید کرده و آن را فعال می‌کند. موج حملات مشاهده شده در اواخر سپتامبر 2023 از تزریق کد تصادفی برای دانلود و اجرای بدافزار از سرورهای راه دور برای نصب افزونه wp-zexit در وب‌سایت‌های وردپرس هدف استفاده می‌کرد.