Новости Balada Injector заразил тысячи WordPress-сайтов с помощью уязвимости tagDiv Composer

[NewsMaker]

Даже премиальные темы порой могут принести владельцам сайтов неприятные сюрпризы.

---

---

Продолжающаяся операция по внедрению вредоносного кода Balada Injector привела к заражению более 17 000 сайтов на WordPress , эксплуатируя известные уязвимости в платных плагинах с темами оформления.

Для просмотра ссылки Войди или Зарегистрируйся , проведённое специалистами Dr. Web в декабре 2022 года, раскрыло деятельность зловредной кампании, которая использовала уязвимости WordPress для внедрения этого Linux - бэкдора . Заражённые сайты перенаправляли посетителей на фальшивые страницы технической поддержки, мошеннические лотереи и уведомления о выигрыше.

Исследователи компании Sucuri Для просмотра ссылки Войди или Зарегистрируйся в апреле 2023 года, что Balada Injector активен как минимум с 2017 года, а общее количество скомпрометированных сайтов за всё время уже давно Для просмотра ссылки Войди или Зарегистрируйся .

В одной из последних вредоносных кампаний злоумышленники использовали уязвимость межсайтового скриптинга ( XSS ) с идентификатором Для просмотра ссылки Войди или Зарегистрируйся в инструменте tagDiv Composer, предназначенном для использования популярных тем оформления Newspaper и Newsmag. Заражения начались в середине сентября, вскоре после раскрытия данных уязвимости и Для просмотра ссылки Войди или Зарегистрируйся PoC- эксплойта .

Согласно общедоступной статистике EnvatoMarket , у Newspaper Для просмотра ссылки Войди или Зарегистрируйся продаж, а у Newsmag Для просмотра ссылки Войди или Зарегистрируйся , таким образом, общая поверхность атаки составляет 155 500 сайтов, не считая пиратских копий. Эти премиальные темы часто используются процветающими онлайн-платформами, собирающими значительный трафик.

Представитель tagDiv Для просмотра ссылки Войди или Зарегистрируйся , что они знают о проблеме: «Мы осведомлены о таких случаях. Вредоносное ПО может затронуть сайты, использующие старые версии тем». Он также рекомендовал обновить используемые экземпляры Newspaper или Newsmag, а также установить плагин безопасности, например, Wordfence .

Sucuri в свежем отчёте Для просмотра ссылки Войди или Зарегистрируйся , что за один только сентябрь с использованием различных вариаций Balada Injector было скомпрометировано более 17 тысяч веб-сайтов, более 9000 из которых связаны с уязвимостью CVE-2023-3169. Характерным признаком её эксплуатации является вредоносный скрипт, внедрённый в определённые теги базы данных сайта.

Sucuri за последнее время зафиксировала 6 различных атак, каждая из которых имела свои особенности. Например, в одном из способов хакеры внедряли бэкдор прямо в страницу 404.php, сигнализирующую о том, что указанный ресурс сайта не найден.

Для защиты от Balada Injector рекомендуется обновить плагин tagDiv Composer до версии 4.2, которая устраняет вышеупомянутую уязвимость, или более поздней. Также следует регулярно обновлять все темы и плагины, удалять неактивные аккаунты пользователей и сканировать файлы сайта на наличие скрытых бэкдоров.