แคมเปญ Balada Injector หลายแคมเปญได้โจมตีเว็บไซต์ WordPress กว่า 17,000 เว็บไซต์ โดยใช้ช่องโหว่ในปลั๊กอิน premium theme
Balada Injector เป็นปฏิบัติการขนาดใหญ่ที่ถูกพบในเดือนธันวาคม 2022 โดย Dr. Web ซึ่งพบการใช้ประโยชน์จากช่องโหว่ต่าง ๆ ของปลั๊กอินใน WordPress ที่เป็นที่รู้จัก และช่องโหว่ของ theme เพื่อติดตั้ง Linux backdoor
โดย Backdoor จะทำการเปลี่ยนเส้นทางผู้เข้าชมเว็บไซต์ที่ถูกโจมตีไปยังหน้า tech support ปลอม, หลอกว่าได้รับรางวัล และการหลอกลวงการแจ้งเตือนลักษณะต่าง ๆ ดังนั้นจึงคาดว่าการโจมตีนี้เป็นส่วนหนึ่งของแคมเปญการหลอกลวง หรือบริการที่ขายให้กับผู้โจมตี
ในเดือนเมษายนปี 2023 Sucuri รายงานว่า Balada Injector ถูกพบมาตั้งแต่ปี 2017 และประเมินว่าได้ทำการโจมตีเว็บไซต์ WordPress ไปแล้วเกือบหนึ่งล้านเว็บไซต์
แคมเปญในปัจจุบัน
ผู้โจมตีใช้ประโยชน์จากช่องโหว่ Cross-site scripting (XSS) ที่มีหมายเลข CVE-2023-3169 ใน tagDiv Composer ซึ่งเป็นเครื่องมือสำหรับ tagDiv Newspaper และ Newsmag themes สำหรับเว็บไซต์ WordPress
(more…)