Más de 17.000 sitios web de WordPress fueron hackeados en septiembre

Según The Hacker News , hasta 9000 sitios web se han visto comprometidos debido a una vulnerabilidad de seguridad recientemente descubierta en el plugin tagDiv Composer de la plataforma WordPress. Esta vulnerabilidad permite a los hackers insertar código malicioso en el código fuente de aplicaciones web sin autenticación.

Los investigadores de seguridad de Sucuri afirman que esta no es la primera vez que el grupo Balada Injector ataca vulnerabilidades en temas tagDiv. Una infección de malware a gran escala ocurrió en el verano de 2017, cuando dos populares temas de WordPress, Newspaper y Newsmag, fueron explotados activamente por hackers.

Balada Injector es una operación a gran escala detectada por primera vez por Doctor Web en diciembre de 2022, en la que el grupo explotó múltiples vulnerabilidades de complementos de WordPress para implementar puertas traseras en sistemas comprometidos.

El objetivo principal de estas actividades es redirigir a los usuarios que visitan sitios web comprometidos a páginas falsas de soporte técnico, páginas de premios de lotería y anuncios fraudulentos. Más de un millón de sitios web se han visto afectados por Balada Injector desde 2017.

Las operaciones principales implicaron la explotación de la vulnerabilidad CVE-2023-3169 para inyectar código malicioso y establecer acceso a sitios web mediante la instalación de puertas traseras, la adición de complementos maliciosos y la creación de administradores para controlar el sitio web.

Sucuri describe este ataque como uno de los más sofisticados, llevado a cabo por un programa automatizado que imita la instalación de un plugin desde un archivo ZIP y lo activa. Las oleadas de ataques observadas a finales de septiembre de 2023 utilizaron la inyección aleatoria de código para descargar y ejecutar malware desde servidores remotos e instalar el plugin wp-zexit en sitios web de WordPress específicos.