У вересні було скомпрометовано понад 17 000 веб-сайтів WordPress.

Згідно з The Hacker News , щонайменше 9000 вебсайтів було скомпрометовано через нещодавно виявлену вразливість безпеки в плагіні tagDiv Composer для WordPress. Ця вразливість дозволяє хакерам впроваджувати шкідливий код у вихідний код вебзастосунків без автентифікації.

Дослідники безпеки з Sucuri кажуть, що це не перший випадок, коли група Balada Injector атакує вразливості в темах tagDiv. Масштабне зараження шкідливим програмним забезпеченням сталося влітку 2017 року, коли хакери активно використовували дві популярні теми WordPress, Newspaper та Newsmag.

Balada Injector — це масштабна операція, вперше виявлена ​​компанією «Доктор Веб» у грудні 2022 року, в рамках якої група використовувала численні вразливості в плагінах WordPress для розгортання бекдорів на скомпрометованих системах.

Основна мета цих дій полягає в перенаправленні користувачів, які отримують доступ до скомпрометованих веб-сайтів, на сторінки технічної підтримки, підроблені результати лотереї та шахрайські сповіщення. З 2017 року Balada Injector вразив понад 1 мільйон веб-сайтів.

Основні дії включали використання вразливості CVE-2023-3169 для впровадження шкідливого коду та встановлення доступу до веб-сайтів шляхом встановлення бекдорів, додавання шкідливих плагінів та створення адміністраторів для контролю сайту.

Сукурі описує це як складний тип автоматизованої атаки, що імітує процес встановлення плагінів із ZIP-архівів та їх активації. Хвилі атак, що спостерігалися наприкінці вересня 2023 року, використовували випадкове введення коду для завантаження та запуску шкідливого програмного забезпечення з віддалених серверів для встановлення плагіна wp-zexit на цільових веб-сайтах WordPress.