Több mint 17 000 WordPress weboldalt törtek fel szeptemberben

A The Hacker News szerint akár 9000 weboldal is veszélybe került a WordPress platform tagDiv Composer bővítményének egy nemrégiben feltárt biztonsági rése miatt. Ez a sebezhetőség lehetővé teszi a hackerek számára, hogy hitelesítés nélkül rosszindulatú kódot illesszenek be a webes alkalmazás forráskódjába.

A Sucuri biztonsági kutatói szerint ez nem az első alkalom, hogy a Balada Injector csoport a tagDiv témák sebezhetőségeit vette célba. Egy nagyszabású kártevőfertőzés történt 2017 nyarán, amikor két népszerű WordPress témát, a Newspaper-t és a Newsmag-ot kihasználták a hackerek.

A Balada Injector egy nagyszabású művelet, amelyet először a Doctor Web észlelt 2022 decemberében, amelyben a csoport több WordPress bővítmény sebezhetőségét kihasználva hátsó ajtókat telepített a feltört rendszerekre.

Ezen tevékenységek fő célja, hogy a feltört webhelyeket látogató felhasználókat hamis technikai támogatási oldalakra, lottónyeremény oldalakra és átverős bejelentésekre irányítsák át. A Balada Injector több mint 1 millió webhelyet érintett 2017 óta.

A főbb műveletek magukban foglalták a CVE-2023-3169 sebezhetőség kihasználását, hogy rosszindulatú kódot juttassanak be, és hozzáférést biztosítsanak weboldalakhoz hátsó ajtók telepítésével, rosszindulatú bővítmények hozzáadásával és adminisztrátorok létrehozásával a weboldalak felügyelete érdekében.

Sucuri ezt az egyik legkifinomultabb támadásként írja le, amelyet egy automatizált program hajt végre, amely utánozza egy bővítmény telepítését egy ZIP archívumból, és aktiválja azt. A 2023 szeptember végén megfigyelt támadási hullámok véletlenszerű kódbefecskendezést használtak rosszindulatú programok letöltésére és elindítására távoli szerverekről, hogy telepítsék a wp-zexit bővítményt a célzott WordPress webhelyekre.