Plus de 17 000 sites WordPress ont été piratés en septembre.

D'après The Hacker News , jusqu'à 9 000 sites web ont été compromis suite à une faille de sécurité récemment découverte dans l'extension tagDiv Composer de la plateforme WordPress. Cette faille permet à des pirates informatiques non authentifiés d'insérer du code malveillant dans le code source de l'application web.

Les chercheurs en sécurité de Sucuri affirment que ce n'est pas la première fois que le groupe Balada Injector cible des vulnérabilités dans les thèmes tagDiv. Une infection par logiciel malveillant à grande échelle s'est produite durant l'été 2017, lorsque deux thèmes WordPress populaires, Newspaper et Newsmag, ont été activement exploités par des pirates informatiques.

Balada Injector est une opération à grande échelle détectée pour la première fois par Doctor Web en décembre 2022, dans laquelle le groupe a exploité de multiples vulnérabilités de plugins WordPress pour déployer des portes dérobées sur des systèmes compromis.

L'objectif principal de ces activités est de rediriger les visiteurs de sites web compromis vers de fausses pages d'assistance technique, des pages annonçant des gains à la loterie et des annonces frauduleuses. Plus d'un million de sites web ont été touchés par Balada Injector depuis 2017.

Les opérations principales consistaient à exploiter la vulnérabilité CVE-2023-3169 pour injecter du code malveillant et établir un accès aux sites web en installant des portes dérobées, en ajoutant des plugins malveillants et en créant des administrateurs pour contrôler le site web.

Sucuri décrit cette attaque comme l'une des plus sophistiquées, menée par un programme automatisé qui imite l'installation d'un plugin à partir d'une archive ZIP et l'active. Les vagues d'attaques observées fin septembre 2023 utilisaient l'injection de code aléatoire pour télécharger et exécuter un logiciel malveillant depuis des serveurs distants afin d'installer le plugin wp-zexit sur les sites WordPress ciblés.