Estima-se que mais de um milhão de sites WordPress tenham sido infectados por uma campanha em andamento para implantar um malware chamado Balada Injector.

A campanha massiva aproveita todas as vulnerabilidades conhecidas e recentemente descobertas de temas e plugins para violar sites WordPress.

O malware permite a geração de usuários administrativos falsos do WordPress, coleta dados armazenados nos hosts subjacentes e deixa backdoors para acesso persistente.

O Balada Injector também realiza pesquisas amplas de diretórios de nível superior associados ao sistema de arquivos do site comprometido para localizar diretórios graváveis que pertencem a outros sites.

As descobertas vêm semanas depois que a Unidade 42 da Palo Alto Networks descobriu uma campanha de injeção de JavaScript maliciosa semelhante que redireciona os visitantes do site para páginas de adware e golpes. Mais de 51.000 sites foram afetados desde 2022.