We wrześniu naruszono bezpieczeństwo ponad 17 000 stron WordPress.

Według The Hacker News , aż 9000 stron internetowych zostało zainfekowanych przez niedawno ujawnioną lukę w zabezpieczeniach wtyczki tagDiv Composer dla WordPressa. Ta luka umożliwia hakerom wstrzyknięcie złośliwego kodu do kodu źródłowego aplikacji internetowej bez uwierzytelnienia.

Badacze bezpieczeństwa z Sucuri twierdzą, że to nie pierwszy raz, kiedy grupa Balada Injector zaatakowała luki w zabezpieczeniach motywów tagDiv. Latem 2017 roku doszło do masowej infekcji złośliwym oprogramowaniem, kiedy hakerzy aktywnie wykorzystali dwa popularne motywy WordPressa: Newspaper i Newsmag.

Balada Injector to zakrojona na szeroką skalę operacja wykryta po raz pierwszy przez Doctor Web w grudniu 2022 r., w ramach której grupa wykorzystała wiele luk w zabezpieczeniach wtyczek WordPress do instalowania tylnych drzwi w zainfekowanych systemach.

Głównym celem tych działań jest przekierowywanie użytkowników odwiedzających zainfekowane witryny do stron pomocy technicznej, fałszywych wyników loterii i fałszywych powiadomień. Od 2017 roku ponad milion witryn internetowych ucierpiało z powodu ataku Balada Injector.

Główne działania polegały na wykorzystaniu luki w zabezpieczeniach CVE-2023-3169 w celu wstrzyknięcia złośliwego kodu i uzyskania dostępu do stron internetowych poprzez instalowanie tylnych drzwi, dodawanie złośliwych wtyczek i tworzenie administratorów kontrolujących witrynę.

Sucuri opisuje to jako wyrafinowany rodzaj zautomatyzowanego ataku, który naśladuje proces instalacji wtyczek z archiwów ZIP i ich aktywacji. Fale ataków zaobserwowane pod koniec września 2023 roku wykorzystywały losowe wstrzykiwanie kodu w celu pobrania i uruchomienia złośliwego oprogramowania ze zdalnych serwerów w celu zainstalowania wtyczki wp-zexit na atakowanych stronach WordPress.