Mais de 17.000 sites WordPress foram invadidos em setembro.

Segundo o The Hacker News , até 9.000 sites foram comprometidos devido a uma vulnerabilidade de segurança recentemente divulgada no plugin tagDiv Composer da plataforma WordPress. Esse erro permite que hackers, sem autenticação, insiram código malicioso no código-fonte da aplicação web.

Pesquisadores de segurança da Sucuri afirmam que esta não é a primeira vez que o grupo Balada Injector explora vulnerabilidades em temas tagDiv. Uma infecção em larga escala por malware ocorreu no verão de 2017, quando dois temas populares do WordPress, Newspaper e Newsmag, foram explorados ativamente por hackers.

O Balada Injector é uma operação em larga escala detectada pela primeira vez pela Doctor Web em dezembro de 2022, na qual o grupo explorou múltiplas vulnerabilidades de plugins do WordPress para implantar backdoors em sistemas comprometidos.

O principal objetivo dessas atividades é direcionar os visitantes de sites comprometidos para páginas falsas de suporte técnico, páginas de sorteios de loteria e anúncios de golpes. Mais de 1 milhão de sites foram afetados pelo Balada Injector desde 2017.

As principais operações envolviam a exploração da vulnerabilidade CVE-2023-3169 para injetar código malicioso e obter acesso a sites através da instalação de backdoors, adição de plugins maliciosos e criação de contas de administrador para controlar o site.

A Sucuri descreve isso como um dos ataques mais sofisticados realizados por um programa automatizado que simula a instalação de um plugin a partir de um arquivo ZIP e o ativa. As ondas de ataques observadas no final de setembro de 2023 usaram injeção de código aleatório para baixar e executar malware de servidores remotos, instalando o plugin wp-zexit em sites WordPress alvo.