Mer än 17 000 WordPress-webbplatser hackades i september

Enligt The Hacker News har upp till 9 000 webbplatser komprometterats genom en nyligen avslöjad säkerhetsbrist i pluginet tagDiv Composer på WordPress-plattformen. Detta fel gör det möjligt för hackare utan autentisering att infoga skadlig kod i webbapplikationens källkod.

Säkerhetsforskare på Sucuri säger att detta inte är första gången som Balada Injector-gruppen har riktat in sig på sårbarheter i tagDiv-teman. En storskalig malwareinfektion inträffade sommaren 2017, då två populära WordPress-teman, Newspaper och Newsmag, aktivt utnyttjades av hackare.

Balada Injector är en storskalig operation som först upptäcktes av Doctor Web i december 2022, där gruppen utnyttjade flera sårbarheter i WordPress-plugins för att distribuera bakdörrar på komprometterade system.

Huvudsyftet med dessa aktiviteter är att hänvisa besökare till komprometterade webbplatser till falska tekniska supportsidor, lotterivinstsidor och bluffmeddelanden. Mer än 1 miljon webbplatser har drabbats av Balada Injector sedan 2017.

Större operationer involverade utnyttjandet av sårbarheten CVE-2023-3169 för att injicera skadlig kod och etablera åtkomst till webbplatser genom att installera bakdörrar, lägga till skadliga plugin-program och skapa administratörer för att kontrollera webbplatsen.

Sucuri beskriver detta som en av de mer sofistikerade attackerna som utförs av ett automatiserat program som imiterar installationen av ett plugin från ett ZIP-arkiv och aktiverar det. Attackvågorna som observerades i slutet av september 2023 använde slumpmässig kodinjektion för att ladda ner och starta skadlig kod från fjärrservrar för att installera wp-zexit-pluginet på riktade WordPress-webbplatser.