У вересні зламів було майже вдвічі більше ніж у серпні.
Зловмисне ПЗ Balada Injector у вересні пошкодило майже 17 000 сайтів WordPress. У серпні зламів було вдвічі менше. 9000 тисяч сайтів WordPress зламали за допомогою нещодавно виявленої вразливості безпеки в плагіні tagDiv Composer (CVE-2023-3169, оцінка CVSS: 6,1), яку могли використати користувачі для виконання збережених міжсайтових сценаріїв (XSS атаки).
Balada Injector – це широкомасштабна операція, вперше виявлена компанією «Доктор Веб» у грудні 2022 року. В її межах зловмисники використовують різноманітні недоліки плагінів WordPress для розгортання бекдорів Linux на вразливих системах. Основна мета імпланту – спрямовування користувачів зламаних сайтів на фальшиві сторінки технічної підтримки, фіктивні виграші в лотерею та шахрайство з push-повідомленнями. З початку 2017 року ця кампанія охопила понад мільйон сайтів.
Атаки з використанням Balada Injector відбуваються як повторювані хвилі активності з періодичністю кожні кілька тижнів, а сплеск заражень фіксується щовівторка після початку хвилі на вихідних. Останній набір порушень передбачає використання CVE-2023-3169 для впровадження шкідливого сценарію та встановлення постійного доступу до сайтів через завантаження бекдорів, додавання шкідливих плагінів і створення шахрайських адміністраторів блогів. Історично ці сценарії спрямовувалися на адміністраторів сайту WordPress, які ввійшли в систему – бо дозволяли хакеру виконувати зловмисні дії з підвищеними привілеями через інтерфейс адміністратора, включно зі створенням нових користувачів, яких можна використовувати для наступних атак.
Особливістю вересневих атак стало використання випадкових імплантацій коду для завантаження і запуск зловмисного ПЗ другої стадії з віддаленого сервера для встановлення плагіну wp-zexit. Також використовуються обфусковані сценарії, що передають cookie відвідувача на керовану виконавцем URL-адресу та отримують у відповідь невизначений код JavaScript. Дослідники з кібербезпеки називають це одним з найскладніших типів атак.
