Over 17 000 WordPress-nettsteder ble kompromittert i september.

Ifølge The Hacker News har så mange som 9000 nettsteder blitt kompromittert gjennom et nylig avslørt sikkerhetsproblem i tagDiv Composer-pluginen for WordPress. Denne feilen lar hackere injisere skadelig kode i kildekoden til webapplikasjoner uten autentisering.

Sikkerhetsforskere hos Sucuri sier at dette ikke er første gang Balada Injector-gruppen har målrettet seg mot sårbarheter i tagDiv-temaer. En storstilt skadevareinfeksjon oppsto sommeren 2017, da to populære WordPress-temaer, Newspaper og Newsmag, ble aktivt utnyttet av hackere.

Balada Injector er en storstilt operasjon som først ble oppdaget av Doctor Web i desember 2022, der gruppen utnyttet flere sårbarheter i WordPress-pluginer for å distribuere bakdører på kompromitterte systemer.

Hovedformålet med disse aktivitetene er å omdirigere brukere som går inn på kompromitterte nettsteder til tekniske støttesider, falske lotteriresultater og uredelige varsler. Over 1 million nettsteder har blitt påvirket av Balada Injector siden 2017.

Hovedaktivitetene involverte utnyttelse av CVE-2023-3169-sårbarheten for å injisere skadelig kode og etablere tilgang til nettsteder ved å installere bakdører, legge til skadelige programtillegg og opprette administratorer for å kontrollere nettstedet.

Sucuri beskriver dette som en sofistikert type automatisert angrep som etterligner prosessen med å installere plugins fra ZIP-arkiver og aktivere dem. Angrepsbølgene som ble observert sent i september 2023 brukte tilfeldig kodeinjeksjon for å laste ned og starte skadelig programvare fra eksterne servere for å installere wp-zexit-pluginen på målrettede WordPress-nettsteder.