Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Balada Injector заразил тысячи WordPress-сайтов с помощью уязвимости tagDiv Composer

11/10/23

Wordhack2-Oct-11-2023-11-25-49-5778-AM

Продолжающаяся операция по внедрению вредоносного кода Balada Injector привела к заражению более 17 000 сайтов на WordPress, эксплуатируя известные уязвимости в платных плагинах с темами оформления.

Исследование, проведённое специалистами Dr. Web в декабре 2022 года, раскрыло деятельность зловредной кампании, которая использовала уязвимости WordPress для внедрения этого Linux-бэкдора, передает Securitylab. Заражённые сайты перенаправляли посетителей на фальшивые страницы технической поддержки, мошеннические лотереи и уведомления о выигрыше.

Исследователи компании Sucuri сообщили в апреле 2023 года, что Balada Injector активен как минимум с 2017 года, а общее количество скомпрометированных сайтов за всё время уже давно превысило миллион .

В одной из последних вредоносных кампаний злоумышленники использовали уязвимость межсайтового скриптинга (XSS) с идентификатором CVE-2023-3169 в инструменте tagDiv Composer, предназначенном для использования популярных тем оформления Newspaper и Newsmag. Заражения начались в середине сентября, вскоре после раскрытия данных уязвимости и публичного выпуска PoC-эксплойта.

Согласно общедоступной статистике EnvatoMarket, у Newspaper около 137 000 продаж, а у Newsmag более 18 500 , таким образом, общая поверхность атаки составляет 155 500 сайтов, не считая пиратских копий. Эти премиальные темы часто используются процветающими онлайн-платформами, собирающими значительный трафик.

Представитель tagDiv подтвердил , что они знают о проблеме: «Мы осведомлены о таких случаях. Вредоносное ПО может затронуть сайты, использующие старые версии тем». Он также рекомендовал обновить используемые экземпляры Newspaper или Newsmag, а также установить плагин безопасности, например, Wordfence.

Sucuri в свежем отчёте отмечает , что за один только сентябрь с использованием различных вариаций Balada Injector было скомпрометировано более 17 тысяч веб-сайтов, более 9000 из которых связаны с уязвимостью CVE-2023-3169. Характерным признаком её эксплуатации является вредоносный скрипт, внедрённый в определённые теги базы данных сайта.

Sucuri за последнее время зафиксировала 6 различных атак, каждая из которых имела свои особенности. Например, в одном из способов хакеры внедряли бэкдор прямо в страницу 404.php, сигнализирующую о том, что указанный ресурс сайта не найден.

Для защиты от Balada Injector рекомендуется обновить плагин tagDiv Composer до версии 4.2, которая устраняет вышеупомянутую уязвимость, или более поздней. Также следует регулярно обновлять все темы и плагины, удалять неактивные аккаунты пользователей и сканировать файлы сайта на наличие скрытых бэкдоров.

Темы:WordPressПреступленияSucuriDr. Web
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...