Понад 17 000 вебсайтів WordPress було зламано у вересні

Згідно з The Hacker News , до 9000 вебсайтів було скомпрометовано через нещодавно виявлену вразливість безпеки в плагіні tagDiv Composer на платформі WordPress. Ця вразливість дозволяє хакерам вставляти шкідливий код у вихідний код вебзастосунку без автентифікації.

Дослідники безпеки Sucuri кажуть, що це не перший випадок, коли група Balada Injector атакує вразливості в темах tagDiv. Масштабне зараження шкідливим програмним забезпеченням сталося влітку 2017 року, коли хакери активно використовували дві популярні теми WordPress, Newspaper та Newsmag.

Balada Injector — це масштабна операція, вперше виявлена ​​компанією «Доктор Веб» у грудні 2022 року, в рамках якої група використовувала численні вразливості плагінів WordPress для розгортання бекдорів на уражених системах.

Головна мета цих дій — перенаправити користувачів, які відвідують скомпрометовані веб-сайти, на фальшиві сторінки технічної підтримки, сторінки виграшів у лотереї та оголошення про шахрайство. З 2017 року Balada Injector вразив понад 1 мільйон веб-сайтів.

Основні операції включали використання вразливості CVE-2023-3169 для впровадження шкідливого коду та встановлення доступу до веб-сайтів шляхом встановлення бекдорів, додавання шкідливих плагінів та створення адміністраторів для контролю веб-сайту.

Сукурі описує це як одну з найскладніших атак, що здійснюється автоматизованою програмою, яка імітує встановлення плагіна з ZIP-архіву та активує його. Хвилі атак, що спостерігалися наприкінці вересня 2023 року, використовували випадкове введення коду для завантаження та запуску шкідливого програмного забезпечення з віддалених серверів для встановлення плагіна wp-zexit на цільових веб-сайтах WordPress.