Mais de 17.000 sites WordPress foram comprometidos em setembro.

Segundo o The Hacker News , cerca de 9.000 sites foram comprometidos devido a uma vulnerabilidade de segurança recentemente divulgada no plugin tagDiv Composer para WordPress. Essa falha permite que hackers injetem código malicioso no código-fonte de aplicações web sem autenticação.

Pesquisadores de segurança da Sucuri afirmam que esta não é a primeira vez que o grupo Balada Injector explora vulnerabilidades em temas tagDiv. Uma infecção em larga escala por malware ocorreu no verão de 2017, quando dois temas populares do WordPress, Newspaper e Newsmag, foram explorados ativamente por hackers.

O Balada Injector é uma operação em larga escala detectada pela primeira vez pela Doctor Web em dezembro de 2022, na qual o grupo explorou múltiplas vulnerabilidades em plugins do WordPress para implantar backdoors em sistemas comprometidos.

O principal objetivo dessas atividades é redirecionar usuários que acessam sites comprometidos para páginas de suporte técnico, resultados falsos de loteria e notificações fraudulentas. Mais de 1 milhão de sites foram afetados pelo Balada Injector desde 2017.

As principais atividades envolviam a exploração da vulnerabilidade CVE-2023-3169 para injetar código malicioso e obter acesso a sites por meio da instalação de backdoors, adição de plugins maliciosos e criação de contas de administrador para controlar o site.

A Sucuri descreve isso como um tipo sofisticado de ataque automatizado que imita o processo de instalação e ativação de plugins a partir de arquivos ZIP. As ondas de ataques observadas no final de setembro de 2023 utilizaram injeção de código aleatório para baixar e executar malware a partir de servidores remotos, com o objetivo de instalar o plugin wp-zexit em sites WordPress específicos.