По данным The Hacker News , до 9000 веб-сайтов были скомпрометированы из-за недавно обнаруженной уязвимости безопасности в плагине tagDiv Composer на платформе WordPress. Эта ошибка позволяет хакерам вставлять вредоносный код в исходный код веб-приложения без аутентификации.

Исследователи безопасности Sucuri заявили, что это не первый случай, когда группа Balada Injector нацелилась на уязвимости в темах tagDiv. Самая крупная зараза вредоносным ПО произошла летом 2017 года, когда две популярные темы WordPress Newspaper и Newsmag активно эксплуатировались хакерами.

Balada Injector — это крупномасштабная операция, впервые обнаруженная компанией Doctor Web в декабре 2022 года. В ходе нее группа использовала многочисленные уязвимости плагинов WordPress для развертывания бэкдоров на скомпрометированных системах.

Основная цель этих действий — перенаправить пользователей, посещающих взломанный веб-сайт, на поддельные страницы технической поддержки, лотерейные выигрыши и мошеннические сообщения. С 2017 года от Balada Injector пострадало более 1 миллиона веб-сайтов.

Основные операции включали эксплуатацию уязвимости CVE-2023-3169 для внедрения вредоносного кода и получения доступа к веб-сайтам путем установки бэкдоров, добавления вредоносных плагинов и создания администраторов для управления веб-сайтом.

Sucuri описывает это как одну из наиболее сложных атак, выполняемых автоматизированной программой, которая имитирует процесс установки плагина из ZIP-архива и активирует его. Волны атак, зафиксированные в конце сентября 2023 года, использовали внедрение случайного кода для загрузки и запуска вредоносного ПО с удаленных серверов с целью установки плагина wp-zexit на целевые веб-сайты WordPress.