Peste 17.000 de site-uri WordPress au fost atacate în septembrie

Conform The Hacker News , până la 9.000 de site-uri web au fost compromise din cauza unei vulnerabilități de securitate dezvăluite recent în pluginul tagDiv Composer de pe platforma WordPress. Această vulnerabilitate permite hackerilor să introducă cod rău intenționat în codul sursă al aplicației web fără autentificare.

Cercetătorii de securitate de la Sucuri spun că aceasta nu este prima dată când grupul Balada Injector a vizat vulnerabilități în temele tagDiv. O infecție malware la scară largă a avut loc în vara anului 2017, când două teme WordPress populare, Newspaper și Newsmag, au fost exploatate activ de hackeri.

Balada Injector este o operațiune la scară largă detectată pentru prima dată de Doctor Web în decembrie 2022, în care grupul a exploatat multiple vulnerabilități ale pluginurilor WordPress pentru a implementa backdoor-uri pe sistemele compromise.

Scopul principal al acestor activități este de a redirecționa utilizatorii care vizitează site-uri web compromise către pagini false de asistență tehnică, pagini cu câștiguri la loterie și anunțuri frauduloase. Peste 1 milion de site-uri web au fost afectate de Balada Injector din 2017.

Operațiunile majore au implicat exploatarea vulnerabilității CVE-2023-3169 pentru a injecta cod malițios și a stabili acces la site-uri web prin instalarea de backdoor-uri, adăugarea de plugin-uri malițioase și crearea de administratori pentru a controla site-ul web.

Sucuri descrie acesta ca fiind unul dintre cele mai sofisticate atacuri efectuate de un program automat care imită instalarea unui plugin dintr-o arhivă ZIP și îl activează. Valurile de atacuri observate la sfârșitul lunii septembrie 2023 au folosit injecție aleatorie de cod pentru a descărca și lansa malware de pe servere la distanță pentru a instala pluginul wp-zexit pe site-uri web WordPress vizate.