Uma vulnerabilidade recentemente corrigida que afeta um plug-in associado aos temas Newspaper e Newsmag foi explorada para hackear milhares de sites WordPress como parte de uma campanha de longa duração chamada Balada Injector, alertou a Sucuri, empresa de segurança na web de propriedade da GoDaddy, na sexta-feira.
A vulnerabilidade explorada, rastreada como CVE-2023-3169, foi descoberta por um pesquisador vietnamita no plugin construtor de páginas front-end TagDiv Composer dos temas premium Newspaper e Newsmag, que foram vendidos quase 140.000 vezes.
A falha, corrigida nas últimas semanas com o lançamento do TagDiv Composer versão 4.2, pode ser explorada para armazenamento de scripts entre sites (XSS) por um invasor não autenticado.
Detalhes da vulnerabilidade foram divulgadas em meados de setembro e a Sucuri começou a ver ataques explorando a falha logo depois. A empresa de segurança cibernética vinculou os ataques ao grupo de ameaças Balada Injector, que existe há muitos anos.
O agente da ameaça normalmente sequestra sites em um esforço para redirecionar seus visitantes para sites falsos de suporte técnico, loteria e outros sites fraudulentos. A Sucuri estimou em abril que mais de um milhão de sites WordPress foram infetado como parte da campanha Balada Injector desde 2017.
Nos ataques observados recentemente, a Sucuri viu mais de 17.000 sites infectados pelo Balada, incluindo 9.000 relacionados à exploração da vulnerabilidade do plugin TagDiv.
Os hackers exploraram o CVE-2023-3169 para injetar código malicioso em um local específico do banco de dados WordPress, garantindo que seu código seria propagado para todas as páginas públicas do site visado.
Depois de obterem acesso inicial a um site, os invasores normalmente carregam backdoors, adicionam plug-ins maliciosos e criam contas de administrador que expandem seus recursos e fornecem acesso persistente.
“Observamos um ciclo rápido de modificações em seus scripts injetados junto com novas técnicas e abordagens. Vimos injeções aleatórias e tipos de ofuscação, uso simultâneo de vários domínios e subdomínios, abuso de CloudFlare e múltiplas abordagens para atacar administradores de sites WordPress infectados”, observou Sucuri.
A empresa de segurança publicou uma postagem no blog com detalhes técnicos e indicadores de compromisso (IoCs) que pode ser usado para determinar se um site WordPress foi alvo da campanha Balada Injector. A Sucuri também compartilhou recomendações para proteger sites contra tais ataques.
:
: