In september werden meer dan 17.000 WordPress-websites gehackt.

Volgens The Hacker News zijn maar liefst 9.000 websites gehackt via een recent ontdekte beveiligingskwetsbaarheid in de tagDiv Composer-plugin voor WordPress. Deze kwetsbaarheid stelt hackers in staat om zonder authenticatie kwaadaardige code in de broncode van webapplicaties te injecteren.

Beveiligingsonderzoekers van Sucuri zeggen dat dit niet de eerste keer is dat de Balada Injector-groep kwetsbaarheden in tagDiv-thema's heeft uitgebuit. In de zomer van 2017 vond er een grootschalige malware-infectie plaats, waarbij twee populaire WordPress-thema's, Newspaper en Newsmag, actief werden misbruikt door hackers.

Balada Injector is een grootschalige operatie die in december 2022 voor het eerst werd ontdekt door Doctor Web. De groep maakte gebruik van meerdere kwetsbaarheden in WordPress-plugins om backdoors te installeren op gecompromitteerde systemen.

Het voornaamste doel van deze activiteiten is om gebruikers die gehackte websites bezoeken, door te sturen naar pagina's voor technische ondersteuning, valse loterijuitslagen en frauduleuze meldingen. Sinds 2017 zijn meer dan 1 miljoen websites getroffen door Balada Injector.

De belangrijkste activiteiten bestonden uit het misbruiken van de CVE-2023-3169-kwetsbaarheid om kwaadaardige code te injecteren en toegang te verkrijgen tot websites door backdoors te installeren, kwaadaardige plug-ins toe te voegen en beheerders aan te maken om de site te beheren.

Sucuri beschrijft dit als een geavanceerde vorm van geautomatiseerde aanval die het proces nabootst van het installeren en activeren van plugins vanuit ZIP-archieven. De aanvalsgolven die eind september 2023 werden waargenomen, maakten gebruik van willekeurige code-injectie om malware van externe servers te downloaden en uit te voeren, waarmee de wp-zexit-plugin op doelgerichte WordPress-websites werd geïnstalleerd.