Plus de 17 000 sites Web WordPress piratés en septembre

Selon The Hacker News , jusqu'à 9 000 sites Web ont été compromis par une vulnérabilité de sécurité récemment révélée dans le plugin tagDiv Composer sur la plateforme WordPress. Ce bogue permet aux pirates d’insérer du code malveillant dans le code source d’une application Web sans authentification.

Ce n'est pas la première fois que le groupe Balada Injector cible les vulnérabilités des thèmes tagDiv, ont déclaré les chercheurs en sécurité de Sucuri. L'infection par malware la plus importante a eu lieu à l'été 2017, au cours de laquelle deux thèmes WordPress populaires, Newspaper et Newsmag, ont été activement exploités par des pirates.

Balada Injector est une opération à grande échelle détectée pour la première fois par Doctor Web en décembre 2022, au cours de laquelle le groupe a exploité plusieurs vulnérabilités des plugins WordPress pour déployer des portes dérobées sur les systèmes compromis.

L’objectif principal de ces activités est de diriger les utilisateurs visitant le site Web compromis vers de fausses pages d’assistance technique, des gains de loterie et des messages frauduleux. Plus d'un million de sites Web ont été affectés par Balada Injector depuis 2017.

Les opérations majeures impliquaient l’exploitation de la vulnérabilité CVE-2023-3169 pour injecter du code malveillant et établir l’accès aux sites Web en installant des portes dérobées, en ajoutant des plugins malveillants et en créant des administrateurs pour contrôler le site Web.

Sucuri décrit cela comme l'une des attaques les plus complexes exécutées par un programme automatisé qui imite le processus d'installation du plugin à partir d'une archive ZIP et l'active. Des vagues d'attaques observées fin septembre 2023 ont utilisé l'injection de code aléatoire pour télécharger et lancer des logiciels malveillants à partir de serveurs distants afin d'installer le plugin wp-zexit sur des sites Web WordPress ciblés.