Uma nova onda de ataques utilizando o malware Balada foi identificada, explorando uma vulnerabilidade em um plugin premium da tagDiv, utilizado em sites de jornais e revistas.
A vulnerabilidade em questão é uma falha de XSS não autenticada, divulgada pela primeira vez em setembro. O plugin é utilizado por mais de 135.000 usuários, o que ressalta o risco associado a este tipo de ataque.
Os atacantes estão empregando diversas táticas e técnicas para permanecerem indetectáveis, enquanto induzem os usuários a visitar sites falsos. A primeira onda de ataques envolveu a injeção de duas variantes do Balada Injector em páginas públicas do WordPress.
A primeira variante foi detectada em mais de 4.000 sites, enquanto a segunda foi encontrada em outros 1.000. Na segunda onda de ataques, os atacantes criaram nomes de usuário e e-mails administrativos maliciosos nos sites alvo, iniciando o processo de infecção ou plantando backdoors.
A terceira onda envolveu a inserção do malware no arquivo 404.php do tema Newspaper. Em torno dos dias 17 e 18 de setembro, na quarta onda, os atacantes alteraram o processo de infecção existente e começaram a usar uma instalação de plugin wp-zexit maliciosa que imitava a página de instalação original.
Este não é o primeiro incidente do tipo. O malware já foi parte de uma campanha massiva que infectou mais de um milhão de sites WordPress ao longo de aproximadamente cinco anos.