وفقًا لموقع The Hacker News ، تم اختراق ما يصل إلى 9000 موقع ويب من خلال ثغرة أمنية تم الكشف عنها مؤخرًا في مكون tagDiv Composer على منصة WordPress. يتيح هذا الخطأ للمتسللين إدراج تعليمات برمجية ضارة في الكود المصدر لتطبيق الويب دون مصادقة.

هذه ليست المرة الأولى التي تستهدف فيها مجموعة Balada Injector نقاط الضعف في موضوعات tagDiv، وفقًا لما قاله باحثو الأمن في Sucuri. كان أكبر إصابة بالبرامج الضارة في صيف عام 2017، حيث تم استغلال موضوعين شائعين في WordPress هما Newspaper وNewsmag بشكل نشط من قبل المتسللين.

Balada Injector هي عملية واسعة النطاق تم اكتشافها لأول مرة بواسطة Doctor Web في ديسمبر 2022، حيث استغلت المجموعة ثغرات أمنية متعددة في مكونات WordPress الإضافية لنشر أبواب خلفية على أنظمة مخترقة.

الهدف الرئيسي من هذه الأنشطة هو توجيه المستخدمين الذين يزورون موقع الويب المخترق إلى صفحات الدعم الفني المزيفة، وجوائز اليانصيب، ورسائل الاحتيال. تأثر أكثر من مليون موقع ويب بـ Balada Injector منذ عام 2017.

وتضمنت العمليات الرئيسية استغلال ثغرة CVE-2023-3169 لحقن تعليمات برمجية ضارة وإنشاء وصول إلى مواقع الويب عن طريق تثبيت أبواب خلفية وإضافة مكونات إضافية ضارة وإنشاء مسؤولين للتحكم في موقع الويب.

يصف Sucuri هذه العملية بأنها واحدة من الهجمات الأكثر تعقيدًا التي يتم تنفيذها بواسطة برنامج آلي يحاكي عملية تثبيت البرنامج الإضافي من أرشيف ZIP ويقوم بتنشيطه. استخدمت موجات الهجمات التي لوحظت في أواخر سبتمبر 2023 حقن الكود العشوائي لتنزيل البرامج الضارة وتشغيلها من خوادم بعيدة لتثبيت البرنامج الإضافي wp-zexit على مواقع WordPress المستهدفة.