We wrześniu zhakowano ponad 17 000 witryn WordPress

Według The Hacker News , aż 9000 stron internetowych zostało zainfekowanych przez niedawno ujawnioną lukę w zabezpieczeniach wtyczki tagDiv Composer na platformie WordPress. Luka ta umożliwia hakerom wstawianie złośliwego kodu do kodu źródłowego aplikacji internetowej bez uwierzytelniania.

Analitycy bezpieczeństwa z Sucuri twierdzą, że to nie pierwszy raz, kiedy grupa Balada Injector zaatakowała luki w zabezpieczeniach motywów tagDiv. Latem 2017 roku doszło do masowej infekcji złośliwym oprogramowaniem, kiedy hakerzy aktywnie wykorzystali dwa popularne motywy WordPressa: Newspaper i Newsmag.

Balada Injector to zakrojona na szeroką skalę operacja wykryta po raz pierwszy przez Doctor Web w grudniu 2022 r., w ramach której grupa wykorzystała wiele luk w zabezpieczeniach wtyczek WordPress do instalowania tylnych drzwi w zainfekowanych systemach.

Głównym celem tych działań jest przekierowywanie użytkowników odwiedzających zainfekowane witryny na fałszywe strony pomocy technicznej, strony z wygranymi na loterii i komunikaty o oszustwach. Od 2017 roku ponad milion witryn zostało zaatakowanych przez Balada Injector.

Główne operacje polegały na wykorzystaniu luki w zabezpieczeniach CVE-2023-3169 w celu wstrzyknięcia złośliwego kodu i uzyskania dostępu do stron internetowych poprzez instalowanie tylnych drzwi, dodawanie złośliwych wtyczek i tworzenie administratorów kontrolujących stronę internetową.

Sucuri opisuje to jako jeden z bardziej wyrafinowanych ataków przeprowadzanych przez zautomatyzowany program, który imituje instalację wtyczki z archiwum ZIP i ją aktywuje. Fale ataków zaobserwowane pod koniec września 2023 roku wykorzystywały losowe wstrzyknięcie kodu do pobrania i uruchomienia złośliwego oprogramowania ze zdalnych serwerów w celu zainstalowania wtyczki wp-zexit na docelowych stronach WordPress.