Över 17 000 WordPress-webbplatser hackade i september

Enligt The Hacker News har upp till 9 000 webbplatser komprometterats genom en nyligen avslöjad säkerhetsbrist i tagDiv Composer-pluginet på WordPress-plattformen. Denna sårbarhet gör det möjligt för hackare att infoga skadlig kod i webbapplikationens källkod utan autentisering.

Säkerhetsforskare på Sucuri säger att detta inte är första gången Balada Injector-gruppen har riktat in sig på sårbarheter i tagDiv-teman. En storskalig malwareinfektion inträffade sommaren 2017, då två populära WordPress-teman, Newspaper och Newsmag, aktivt utnyttjades av hackare.

Balada Injector är en storskalig operation som först upptäcktes av Doctor Web i december 2022, där gruppen utnyttjade flera sårbarheter i WordPress-plugins för att distribuera bakdörrar på komprometterade system.

Huvudsyftet med dessa aktiviteter är att omdirigera användare som besöker komprometterade webbplatser till falska tekniska supportsidor, lotterivinstsidor och bluffmeddelanden. Mer än 1 miljon webbplatser har drabbats av Balada Injector sedan 2017.

Större operationer involverade utnyttjandet av sårbarheten CVE-2023-3169 för att injicera skadlig kod och etablera åtkomst till webbplatser genom att installera bakdörrar, lägga till skadliga plugin-program och skapa administratörer för att kontrollera webbplatsen.

Sucuri beskriver detta som en av de mer sofistikerade attackerna som utförs av ett automatiserat program som imiterar installationen av ett plugin från ett ZIP-arkiv och aktiverar det. Attackvågorna som observerades i slutet av september 2023 använde slumpmässig kodinjektion för att ladda ner och starta skadlig kod från fjärrservrar för att installera wp-zexit-pluginet på riktade WordPress-webbplatser.