Eylül 2023'te 17.000'den fazla WordPress web sitesi, Ağustos ayındaki tespit sayısının neredeyse iki katı olan Balada Injector olarak bilinen bir kötü amaçlı yazılımla ele geçirildi.
Bunlardan 9.000'inin, kimliği doğrulanmamış kullanıcılar tarafından depolanmış siteler arası komut dosyası çalıştırma (XSS) saldırıları gerçekleştirmek için kullanılabilecek tagDiv Composer eklentisinde (CVE-2023-3169, CVSS puanı: 6.1) yakın zamanda açıklanan bir güvenlik açığı kullanılarak web sitelerine sızıldığı söyleniyor.
Sucuri güvenlik araştırmacısı Denis Sinegubko, "Bu, Balada Injector çetesinin tagDiv'in premium temalarındaki güvenlik açıklarını ilk kez hedef alması değil" dedi.
"Bu kampanyaya atfedebileceğimiz en eski büyük kötü amaçlı yazılım enjeksiyonlarından biri, Gazete ve Newsmag WordPress temalarında ifşa edilen güvenlik hatalarının aktif olarak kötüye kullanıldığı 2017 yazında gerçekleşti."
Balada Injector, ilk olarak Aralık 2022'de Doctor Web tarafından keşfedilen ve tehdit aktörlerinin hassas sistemlere bir Linux arka kapısı dağıtmak için çeşitli WordPress eklenti kusurlarından yararlandığı büyük ölçekli bir operasyondur.
İmplantın temel amacı, güvenliği ihlal edilmiş sitelerin kullanıcılarını sahte teknik destek sayfalarına, hileli piyango kazançlarına ve push bildirim dolandırıcılıklarına yönlendirmektir. 2017'den bu yana kampanyadan bir milyondan fazla web sitesi etkilendi.
Balada Enjektörünü içeren saldırılar, hafta sonu boyunca bir dalganın başlamasının ardından Salı günleri tespit edilen enfeksiyonlarda bir artışla birlikte, birkaç haftada bir meydana gelen tekrarlayan aktivite dalgaları şeklinde ortaya çıkar.
En son ihlal seti, kötü amaçlı bir komut dosyası enjekte etmek ve nihayetinde arka kapılar yükleyerek, kötü amaçlı eklentiler ekleyerek ve sahte blog yöneticileri oluşturarak siteler üzerinde kalıcı erişim sağlamak için CVE-2023-3169'dan yararlanılmasını gerektirir.
Tarihsel olarak, bu komut dosyaları, düşmanın, takip saldırıları için kullanabilecekleri yeni yönetici kullanıcıları oluşturmak da dahil olmak üzere, yönetici arayüzü aracılığıyla yükseltilmiş ayrıcalıklarla kötü amaçlı eylemler gerçekleştirmesine izin verdiği için, oturum açmış WordPress site yöneticilerini hedef almıştır.
Komut dosyalarının hızla gelişen doğası, web sitelerinin 404 hata sayfalarına rastgele PHP kodu çalıştırabilen bir arka kapı yerleştirme veya alternatif olarak, kötü amaçlı bir wp-zexit eklentisini otomatik bir şekilde yüklemek için sayfalara gömülü koddan yararlanma yetenekleriyle kanıtlanmaktadır.