Lebih dari 17.000 Situs Web WordPress Diretas pada Bulan September

Menurut The Hacker News , hingga 9.000 situs web telah diretas melalui kerentanan keamanan yang baru-baru ini diungkapkan pada plugin tagDiv Composer di platform WordPress. Kerentanan ini memungkinkan peretas memasukkan kode berbahaya ke dalam kode sumber aplikasi web tanpa autentikasi.

Peneliti keamanan Sucuri mengatakan ini bukan pertama kalinya kelompok Balada Injector menyerang kerentanan pada tema tagDiv. Infeksi malware skala besar terjadi pada musim panas 2017, ketika dua tema WordPress populer, Newspaper dan Newsmag, dieksploitasi secara aktif oleh peretas.

Balada Injector adalah operasi skala besar yang pertama kali terdeteksi oleh Doctor Web pada bulan Desember 2022, di mana kelompok tersebut mengeksploitasi beberapa kerentanan plugin WordPress untuk menyebarkan pintu belakang pada sistem yang disusupi.

Tujuan utama aktivitas ini adalah untuk mengarahkan pengguna yang mengunjungi situs web yang diretas ke halaman dukungan teknis palsu, halaman pemenang lotere, dan pengumuman penipuan. Lebih dari 1 juta situs web telah terdampak Balada Injector sejak 2017.

Operasi utama melibatkan eksploitasi kerentanan CVE-2023-3169 untuk menyuntikkan kode berbahaya dan membuat akses ke situs web dengan memasang pintu belakang, menambahkan plugin berbahaya, dan membuat administrator untuk mengendalikan situs web.

Sucuri menggambarkan ini sebagai salah satu serangan paling canggih yang dilakukan oleh program otomatis yang meniru instalasi plugin dari arsip ZIP dan mengaktifkannya. Gelombang serangan yang diamati pada akhir September 2023 menggunakan injeksi kode acak untuk mengunduh dan meluncurkan malware dari server jarak jauh untuk menginstal plugin wp-zexit di situs web WordPress yang ditargetkan.