Meer dan 17.000 WordPress-websites gehackt in september

Volgens The Hacker News zijn tot 9.000 websites gehackt via een onlangs onthuld beveiligingslek in de tagDiv Composer-plugin op het WordPress-platform. Deze kwetsbaarheid stelt hackers in staat om zonder authenticatie schadelijke code in de broncode van webapplicaties te plaatsen.

Beveiligingsonderzoekers van Sucuri zeggen dat dit niet de eerste keer is dat de Balada Injector-groep kwetsbaarheden in tagDiv-thema's aanpakt. In de zomer van 2017 vond een grootschalige malware-infectie plaats, toen twee populaire WordPress-thema's, Newspaper en Newsmag, actief werden uitgebuit door hackers.

Balada Injector is een grootschalige operatie die voor het eerst in december 2022 door Doctor Web werd ontdekt, waarbij de groep misbruik maakte van meerdere kwetsbaarheden in WordPress-plug-ins om achterdeurtjes te installeren op gecompromitteerde systemen.

Het belangrijkste doel van deze activiteiten is om gebruikers die gecompromitteerde websites bezoeken, om te leiden naar neppagina's voor technische ondersteuning, pagina's met loterijwinsten en frauduleuze aankondigingen. Sinds 2017 zijn meer dan 1 miljoen websites getroffen door Balada Injector.

Belangrijke operaties omvatten het misbruiken van de kwetsbaarheid CVE-2023-3169 om schadelijke code te injecteren en toegang te verkrijgen tot websites door backdoors te installeren, schadelijke plug-ins toe te voegen en beheerders aan te stellen om de website te beheren.

Sucuri beschrijft dit als een van de meest geavanceerde aanvallen die worden uitgevoerd door een geautomatiseerd programma dat de installatie van een plugin vanuit een ZIP-bestand nabootst en activeert. De aanvallen die eind september 2023 werden waargenomen, maakten gebruik van willekeurige code-injectie om malware te downloaden en te starten vanaf externe servers om de wp-zexit-plugin te installeren op doelgerichte WordPress-websites.