Según The Hacker News , hasta 9.000 sitios web se han visto comprometidos debido a una vulnerabilidad de seguridad revelada recientemente en el complemento tagDiv Composer en la plataforma WordPress. Este error permite a los piratas informáticos insertar código malicioso en el código fuente de aplicaciones web sin autenticación.

Esta no es la primera vez que el grupo Balada Injector ataca vulnerabilidades en temas tagDiv, dijeron los investigadores de seguridad de Sucuri. La mayor infección de malware se produjo en el verano de 2017, cuando dos populares temas de WordPress, Newspaper y Newsmag, fueron explotados activamente por piratas informáticos.

Balada Injector es una operación a gran escala detectada por primera vez por Doctor Web en diciembre de 2022, en la que el grupo explotó múltiples vulnerabilidades de complementos de WordPress para implementar puertas traseras en sistemas comprometidos.

El objetivo principal de estas actividades es dirigir a los usuarios que visitan el sitio web comprometido a páginas de soporte técnico falsas, premios de lotería y mensajes fraudulentos. Más de 1 millón de sitios web se han visto afectados por Balada Injector desde 2017.

Las principales operaciones implicaron la explotación de la vulnerabilidad CVE-2023-3169 para inyectar código malicioso y establecer acceso a sitios web mediante la instalación de puertas traseras, la adición de complementos maliciosos y la creación de administradores para controlar el sitio web.

Sucuri describe esto como uno de los ataques más complejos realizados por un programa automatizado que imita el proceso de instalación del complemento desde un archivo ZIP y lo activa. Las oleadas de ataques observadas a fines de septiembre de 2023 utilizaron inyección de código aleatorio para descargar y ejecutar malware desde servidores remotos para instalar el complemento wp-zexit en sitios web de WordPress específicos.