Mais de 17.000 sites WordPress hackeados em setembro

De acordo com o The Hacker News , até 9.000 sites foram comprometidos por uma vulnerabilidade de segurança recentemente divulgada no plugin tagDiv Composer da plataforma WordPress. Essa vulnerabilidade permite que hackers insiram código malicioso no código-fonte do aplicativo web sem autenticação.

Pesquisadores de segurança da Sucuri afirmam que esta não é a primeira vez que o grupo Balada Injector ataca vulnerabilidades em temas tagDiv. Uma infecção de malware em larga escala ocorreu no verão de 2017, quando dois temas populares do WordPress, Newspaper e Newsmag, foram ativamente explorados por hackers.

O Balada Injector é uma operação em larga escala detectada pela primeira vez pelo Doctor Web em dezembro de 2022, na qual o grupo explorou diversas vulnerabilidades de plug-ins do WordPress para implantar backdoors em sistemas comprometidos.

O principal objetivo dessas atividades é redirecionar os usuários que visitam sites comprometidos para páginas falsas de suporte técnico, páginas com prêmios de loteria e anúncios fraudulentos. Mais de 1 milhão de sites foram afetados pelo Balada Injector desde 2017.

As principais operações envolveram a exploração da vulnerabilidade CVE-2023-3169 para injetar código malicioso e estabelecer acesso a sites instalando backdoors, adicionando plugins maliciosos e criando administradores para controlar o site.

A Sucuri descreve este como um dos ataques mais sofisticados realizados por um programa automatizado que imita a instalação de um plugin a partir de um arquivo ZIP e o ativa. As ondas de ataques observadas no final de setembro de 2023 usaram injeção aleatória de código para baixar e executar malware de servidores remotos para instalar o plugin wp-zexit em sites WordPress alvos.