Över 17 000 WordPress-webbplatser komprometterades i september.

Enligt The Hacker News har så många som 9 000 webbplatser komprometterats genom en nyligen avslöjad säkerhetsbrist i pluginet tagDiv Composer för WordPress. Denna brist gör det möjligt för hackare att injicera skadlig kod i webbapplikationers källkod utan autentisering.

Säkerhetsforskare på Sucuri säger att detta inte är första gången Balada Injector-gruppen har riktat in sig på sårbarheter i tagDiv-teman. En storskalig malwareinfektion inträffade sommaren 2017, då två populära WordPress-teman, Newspaper och Newsmag, aktivt utnyttjades av hackare.

Balada Injector är en storskalig operation som först upptäcktes av Doctor Web i december 2022, där gruppen utnyttjade flera sårbarheter i WordPress-plugins för att distribuera bakdörrar på komprometterade system.

Det primära syftet med dessa aktiviteter är att omdirigera användare som besöker komprometterade webbplatser till tekniska supportsidor, falska lotteriresultat och bedrägliga meddelanden. Över 1 miljon webbplatser har drabbats av Balada Injector sedan 2017.

Huvudsakliga aktiviteter involverade utnyttjandet av sårbarheten CVE-2023-3169 för att injicera skadlig kod och etablera åtkomst till webbplatser genom att installera bakdörrar, lägga till skadliga plugin-program och skapa administratörer för att kontrollera webbplatsen.

Sucuri beskriver detta som en sofistikerad typ av automatiserad attack som härmar processen att installera plugins från ZIP-arkiv och aktivera dem. Attackvågorna som observerades i slutet av september 2023 använde slumpmässig kodinjektion för att ladda ner och starta skadlig kod från fjärrservrar för att installera wp-zexit-pluginet på riktade WordPress-webbplatser.