Balada Injector заразил тысячи WordPress-сайтов с помощью уязвимости tagDiv Composer

Продолжающаяся операция по внедрению вредоносного кода Balada Injector привела к заражению более 17 000 сайтов на WordPress, эксплуатируя известные уязвимости в платных плагинах с темами оформления.

Исследование , проведённое специалистами Dr. Web в декабре 2022 года, раскрыло деятельность зловредной кампании, которая использовала уязвимости WordPress для внедрения этого Linux-бэкдора. Заражённые сайты перенаправляли посетителей на фальшивые страницы технической поддержки, мошеннические лотереи и уведомления о выигрыше.

Исследователи компании Sucuri сообщили в апреле 2023 года, что Balada Injector активен как минимум с 2017 года, а общее количество скомпрометированных сайтов за всё время уже давно превысило миллион .

В одной из последних вредоносных кампаний злоумышленники использовали уязвимость межсайтового скриптинга (XSS) с идентификатором CVE-2023-3169 в инструменте tagDiv Composer, предназначенном для использования популярных тем оформления Newspaper и Newsmag. Заражения начались в середине сентября, вскоре после раскрытия данных уязвимости и публичного выпуска PoC-эксплойта.

Согласно общедоступной статистике EnvatoMarket, у Newspaper около 137 000 продаж, а у Newsmag более 18 500 , таким образом, общая поверхность атаки составляет 155 500 сайтов, не считая пиратских копий. Эти премиальные темы часто используются процветающими онлайн-платформами, собирающими значительный трафик.

Представитель tagDiv подтвердил , что они знают о проблеме: «Мы осведомлены о таких случаях. Вредоносное ПО может затронуть сайты, использующие старые версии тем». Он также рекомендовал обновить используемые экземпляры Newspaper или Newsmag, а также установить плагин безопасности, например, Wordfence.

Sucuri в свежем отчёте отмечает , что за один только сентябрь с использованием различных вариаций Balada Injector было скомпрометировано более 17 тысяч веб-сайтов, более 9000 из которых связаны с уязвимостью CVE-2023-3169. Характерным признаком её эксплуатации является вредоносный скрипт, внедрённый в определённые теги базы данных сайта.

Sucuri за последнее время зафиксировала 6 различных атак, каждая из которых имела свои особенности. Например, в одном из способов хакеры внедряли бэкдор прямо в страницу 404.php, сигнализирующую о том, что указанный ресурс сайта не найден.

Для защиты от Balada Injector рекомендуется обновить плагин tagDiv Composer до версии 4.2, которая устраняет вышеупомянутую уязвимость, или более поздней. Также следует регулярно обновлять все темы и плагины, удалять неактивные аккаунты пользователей и сканировать файлы сайта на наличие скрытых бэкдоров.