V září bylo napadeno přes 17 000 webů s WordPressem

Podle serveru The Hacker News bylo až 9 000 webových stránek napadeno nedávno odhalenou bezpečnostní zranitelností v pluginu tagDiv Composer na platformě WordPress. Tato zranitelnost umožňuje hackerům vkládat škodlivý kód do zdrojového kódu webové aplikace bez ověření.

Bezpečnostní experti ze společnosti Sucuri tvrdí, že to není poprvé, co se skupina Balada Injector zaměřila na zranitelnosti v šablonách tagDiv. K rozsáhlé infekci malwarem došlo v létě 2017, kdy hackeři aktivně zneužili dvě populární šablony WordPressu, Newspaper a Newsmag.

Balada Injector je rozsáhlá operace, kterou společnost Doctor Web poprvé odhalila v prosinci 2022. Skupina při ní zneužila několik zranitelností pluginů WordPressu k nasazení zadních vrátek na napadených systémech.

Hlavním účelem těchto aktivit je přesměrovat uživatele, kteří navštěvují napadené webové stránky, na falešné stránky technické podpory, stránky s výhrami v loterii a na oznámení o podvodech. Od roku 2017 byl virem Balada Injector zasažen více než milion webových stránek.

Hlavní operace zahrnovaly zneužití zranitelnosti CVE-2023-3169 k vložení škodlivého kódu a získání přístupu k webovým stránkám instalací zadních vrátek, přidáním škodlivých pluginů a vytvořením administrátorů pro správu webu.

Sucuri to popisuje jako jeden ze sofistikovanějších útoků prováděných automatizovaným programem, který napodobuje instalaci pluginu ze ZIP archivu a aktivuje ho. Vlny útoků pozorované koncem září 2023 používaly náhodné vstřikování kódu ke stahování a spouštění malwaru ze vzdálených serverů za účelem instalace pluginu wp-zexit na cílené webové stránky WordPressu.