ตามรายงานของ The Hacker News เว็บไซต์มากกว่า 9,000 แห่งถูกบุกรุกเนื่องจากช่องโหว่ด้านความปลอดภัยที่เพิ่งเปิดเผยในปลั๊กอิน tagDiv Composer บนแพลตฟอร์ม WordPress ข้อบกพร่องนี้ทำให้แฮกเกอร์สามารถแทรกโค้ดที่เป็นอันตรายลงในโค้ดต้นฉบับของแอปพลิเคชันเว็บได้โดยไม่ต้องมีการตรวจสอบสิทธิ์

นี่ไม่ใช่ครั้งแรกที่กลุ่ม Balada Injector โจมตีช่องโหว่ในธีม tagDiv นักวิจัยด้านความปลอดภัยของ Sucuri กล่าว การติดมัลแวร์ครั้งใหญ่ที่สุดเกิดขึ้นในช่วงฤดูร้อนของปี 2017 ซึ่งมีธีม WordPress ยอดนิยมสองธีมคือ Newspaper และ Newsmag ซึ่งถูกแฮกเกอร์นำไปใช้ประโยชน์อย่างจริงจัง

Balada Injector เป็นปฏิบัติการขนาดใหญ่ที่ตรวจพบครั้งแรกโดย Doctor Web ในเดือนธันวาคม 2022 โดยกลุ่มนี้ได้ใช้ประโยชน์จากช่องโหว่ปลั๊กอิน WordPress หลายจุดเพื่อติดตั้งแบ็กดอร์บนระบบที่ถูกบุกรุก

วัตถุประสงค์หลักของกิจกรรมเหล่านี้คือเพื่อนำผู้ใช้ที่เยี่ยมชมเว็บไซต์ที่ถูกบุกรุกไปยังหน้าสนับสนุนทางเทคนิคปลอม รางวัลลอตเตอรี และข้อความหลอกลวง เว็บไซต์มากกว่า 1 ล้านแห่งได้รับผลกระทบจาก Balada Injector ตั้งแต่ปี 2017

ปฏิบัติการหลักเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ CVE-2023-3169 เพื่อแทรกโค้ดที่เป็นอันตรายและสร้างการเข้าถึงเว็บไซต์โดยการติดตั้งแบ็กดอร์ เพิ่มปลั๊กอินที่เป็นอันตราย และตั้งผู้ดูแลระบบเพื่อควบคุมเว็บไซต์

Sucuri อธิบายว่านี่คือการโจมตีที่ซับซ้อนอย่างหนึ่งที่ดำเนินการโดยโปรแกรมอัตโนมัติซึ่งเลียนแบบกระบวนการติดตั้งปลั๊กอินจากไฟล์ ZIP และเปิดใช้งานมัน คลื่นการโจมตีที่ตรวจพบในช่วงปลายเดือนกันยายน พ.ศ. 2566 ใช้การแทรกโค้ดแบบสุ่มเพื่อดาวน์โหลดและเปิดใช้มัลแวร์จากเซิร์ฟเวอร์ระยะไกลเพื่อติดตั้งปลั๊กอิน wp-zexit ลงในเว็บไซต์ WordPress ที่เป็นเป้าหมาย