Plus de 17 000 sites Web WordPress piratés en septembre

Selon The Hacker News , jusqu'à 9 000 sites web ont été compromis par une faille de sécurité récemment révélée dans le plugin tagDiv Composer de la plateforme WordPress. Cette vulnérabilité permet aux pirates d'insérer du code malveillant dans le code source de l'application web sans authentification.

Les chercheurs en sécurité de Sucuri affirment que ce n'est pas la première fois que le groupe Balada Injector cible des vulnérabilités dans les thèmes tagDiv. Une infection par un logiciel malveillant à grande échelle s'est produite à l'été 2017, lorsque deux thèmes WordPress populaires, Newspaper et Newsmag, ont été activement exploités par des pirates.

Balada Injector est une opération à grande échelle détectée pour la première fois par Doctor Web en décembre 2022, dans laquelle le groupe a exploité plusieurs vulnérabilités des plugins WordPress pour déployer des portes dérobées sur les systèmes compromis.

L'objectif principal de ces activités est de rediriger les utilisateurs visitant des sites web compromis vers de fausses pages d'assistance technique, des pages de gains de loterie et des annonces frauduleuses. Plus d'un million de sites web ont été touchés par Balada Injector depuis 2017.

Les opérations majeures impliquaient l'exploitation de la vulnérabilité CVE-2023-3169 pour injecter du code malveillant et établir l'accès aux sites Web en installant des portes dérobées, en ajoutant des plugins malveillants et en créant des administrateurs pour contrôler le site Web.

Sucuri décrit cette attaque comme l'une des plus sophistiquées, menée par un programme automatisé qui imite l'installation d'un plugin depuis une archive ZIP et l'active. Les vagues d'attaques observées fin septembre 2023 utilisaient l'injection de code aléatoire pour télécharger et lancer des logiciels malveillants depuis des serveurs distants afin d'installer le plugin wp-zexit sur les sites WordPress ciblés.