Theo The Hacker News, khoảng 9.000 website đã bị tấn công thông qua lỗ hổng trong phần mở rộng tagDiv Composer trên WordPress. Các hacker không cần xác thực mà vẫn có thể chèn các đoạn mã độc hại.
Balada Injector hoạt động với quy mô lớn và đã được các chuyên gia phát hiện vào tháng 12/2022. Nhóm hacker này khai thác nhiều lỗ hổng của phần mở rộng dành cho WordPress. Theo các chuyên gia, đây không phải là lần đầu nhóm hacker chú ý đến các lỗ hổng trong các giao diện của tagDiv.
Hoạt động của nhóm hacker nhằm hướng đến người dùng truy cập vào website bị tấn công đến các trang hỗ trợ kỹ thuật và các thông báo giả mạo lừa đảo khác. Thống kê từ năm 2017 đến nay cho thấy, có hơn 1 triệu website WordPress đã bị ảnh hưởng bởi nhóm hacker.
Balada Injector nhắm đến việc khai thác lỗ hổng CVE-2023-3169, với mục tiêu chèn mã độc hại và thiết lập quyền truy cập trên website bằng cách thêm phần mở rộng và tạo quản trị viên giả.
Theo các chuyên gia, quá trình tấn công này rất phức tạp, tương tự như việc cài đặt phần mở rộng từ tệp ZIP. Nhóm hacker đã tận dụng tính năng chèn mã ngẫu nhiên để tải xuống và chạy phần mềm độc hại từ máy chủ, nhằm cài đặt phần mở rộng vào các trang web WordPress.
