В середине сентября 2023 года на ресурсах, предоставляющих консультации по уязвимостям, были раскрыты подробности о наличии неаутентифицированной хранимой XSS-уязвимости в tagDiv Composer (плагин-компаньон для популярных премиум-тем tagDiv Newspaper и Newsmag). Вскоре после этого Sucuri стали замечать новые волны инъекций вредоносного ПО Balada на сайтах, активно использующих темы tagDiv.
Это уже не первый случай, когда банда Balada Injector нацеливается на уязвимости в премиум-темах tagDiv. Одна из первых массовых инъекций вредоносного ПО, которую мы можем отнести к этой кампании, произошла летом 2017 года, когда активно использовались раскрытые ошибки безопасности в темах Newspaper и Newsmag WordPress. На тот момент tagDiv уже сообщил о более чем 40 000 платящих пользователей (плюс еще больше пользователей пиратских тем). Сейчас, в 2023 году, tagDiv утверждает, что у популярной премиум-темы Newspaper более 135 000 пользователей.
Indicators of Compromise
IPv4
- 185.39.206.158
- 185.39.206.159
- 185.39.206.160
- 185.39.206.161
- 2.59.222.113
- 2.59.222.119
- 2.59.222.121
- 2.59.222.122
- 2.59.222.158
- 80.66.79.252
- 80.66.79.253
- 88.151.192.253
- 88.151.192.254
- 89.23.103.32
Domains
- dataofpages.com
- decentralappps.com
- getmygateway.com
- listwithstats.com
- promsmotion.com
- specialnewspaper.com
- specialtaskevents.com
- stablelightway.com
- statisticscripts.com
- stratosbody.com