В сентябре было взломано более 17 000 сайтов на платформе WordPress.

По данным The Hacker News , около 9000 веб-сайтов были взломаны из-за недавно обнаруженной уязвимости в плагине tagDiv Composer для WordPress. Эта уязвимость позволяет хакерам внедрять вредоносный код в исходный код веб-приложений без аутентификации.

Специалисты по безопасности из Sucuri утверждают, что это не первый случай, когда группа Balada Injector использует уязвимости в темах tagDiv. Масштабное заражение вредоносным ПО произошло летом 2017 года, когда хакеры активно использовали уязвимости двух популярных тем WordPress, Newspaper и Newsmag.

Balada Injector — это масштабная операция, впервые обнаруженная Doctor Web в декабре 2022 года, в ходе которой группа использовала многочисленные уязвимости в плагинах WordPress для развертывания бэкдоров на скомпрометированных системах.

Основная цель этих действий — перенаправлять пользователей, заходящих на взломанные веб-сайты, на страницы технической поддержки, страницы с поддельными результатами лотерей и мошеннические уведомления. С 2017 года Balada Injector затронул более 1 миллиона веб-сайтов.

Основные действия включали использование уязвимости CVE-2023-3169 для внедрения вредоносного кода и получения доступа к веб-сайтам путем установки бэкдоров, добавления вредоносных плагинов и создания администраторов для управления сайтом.

Компания Sucuri описывает это как сложный тип автоматизированной атаки, имитирующий процесс установки плагинов из ZIP-архивов и их активации. Волна атак, наблюдавшаяся в конце сентября 2023 года, использовала внедрение случайного кода для загрузки и запуска вредоносного ПО с удаленных серверов с целью установки плагина wp-zexit на целевые веб-сайты WordPress.