Hackerii conduc atacuri la scară largă asupra site-urilor WordPress pentru a injecta scripturi care forțează browserele vizitatorilor să încerce parole pentru alte site-uri.
Campania a fost observată pentru prima dată de firma de securitate cibernetică a site-urilor Sucuri, care a monitorizat un actor de amenințare cunoscut pentru încălcarea site-urilor pentru a injecta scripturi de drenaj de portofel criptografic.
Drenorii de portofel criptografici sunt scripturi malitioase care fură toate criptomonedele și activele atunci când cineva își conectează portofelul.
Când oamenii vizitează aceste site-uri compromis, scripturile afișează mesaje înșelătoare pentru a-i convinge pe utilizatori să-și conecteze portofelele la site. Cu toate acestea, odată ce fac acest lucru, scripturile fură toate activele conținute.
Aceste scripturi au devenit foarte comune în ultimul an, cu actorii de amenințare creând site-uri Web3 false cu drenori de portofel. Apoi hackează X conturi, creează videoclipuri YouTube sau plasează reclame Google și X pentru a promova site-urile și a fura criptomonedele vizitatorilor.
Cercetătorii Sucuri au raportat că actorii de amenințare încălcau site-urile WordPress compromise pentru a injecta drenorul de portofel AngelDrainer în mai multe valuri din mai multe URL-uri, ultimul fiind ‘dynamiclink[.]lol/cachingjs/turboturbo.js’.
La sfârșitul lunii februarie, actorul de amenințare a trecut de la drenajul portofelului la preluarea browserelor vizitatorilor pentru a încerca parolele altor site-uri WordPress folosind un script malitios de la un domeniu recent înregistrat ‘dynamic-linx[.]com/chx.js’.
Potrivit unui nou raport de la Sucuri, actorul de amenințare folosește site-urile WordPress compromise pentru a încărca scripturi care forțează browserele vizitatorilor să conducă atacuri de forță brută pentru a obține acreditările de cont pe alte site-uri.
Un atac de forță brută este atunci când un actor de amenințare încearcă să se conecteze la un cont folosind diferite parole pentru a ghici pe cea corectă. Cu acreditările, actorul de amenințare poate fura date, injecta scripturi malitioase sau cripta fișierele de pe site.
În cadrul acestei campanii de hacking, actorii de amenințare compromit un site WordPress pentru a injecta coduri malitioase în șabloanele HTML. Când vizitatorii accesează site-ul web, scripturile sunt încărcate în browserul lor de la https://dynamic-linx[.]com/chx.js.
Aceste scripturi vor determina browser-ul să contacteze în tăcere serverul actorilor de amenințare la ‘https://dynamic-linx[.]com/getTask.php’ pentru a primi o sarcină de forțare brută a parolei.
Această sarcină vine sub forma unui fișier JSON care conține parametrii pentru atacul de forță brută: un ID, URL-ul site-ului, numele contului, un număr care denotă lotul curent de parole de trecut și o sută de parole de încercat.
Odată ce sarcina este primită, scriptul va determina browser-ul vizitatorului să încarce în tăcere un fișier folosind interfața XMLRPC a site-ului WordPress folosind numele contului și parolele din datele JSON.
Dacă o parolă este corectă, scriptul va notifica serverul actorilor de amenințare că a fost găsită o parolă pentru site. Hackerul poate apoi să se conecteze la site pentru a recupera fișierul încărcat care conține perechea de nume de utilizator și parolă codată în base64.
Cât timp pagina rămâne deschisă, scriptul malitios va determina browser-ul web să se conecteze repetat la serverul atacatorului și să primească o nouă sarcină de executat.
Potrivit motorului de căutare a codului sursă HTML PublicHTML, există în prezent peste 1.700 de site-uri hackuite cu aceste scripturi sau încărcătoarele lor, oferind un pool masiv de utilizatori care vor fi involuntar recrutați în această armată distribuită de forță brută.
Cercetătorul CronUp Germán Fernández a descoperit că site-ul Asociației Băncilor Private din Ecuador a fost compromis în această campanie, acționând ca o capcană pentru vizitatorii nevinovați.
Nu este clar de ce actorii de amenințare au trecut de la injectarea drenorilor de portofel criptografic la forțarea altor site-uri. Cu toate acestea, Sucuri crede că este pentru a construi un portofoliu mai extins de site-uri de la care să lanseze atacuri ulterioare la o scară mai mare, cum ar fi atacurile de drenare a criptomonedelor.
„Cel mai probabil, au realizat că la scara lor de infecție (~1000 de site-uri compromise), drenorii de criptomonede nu sunt încă foarte profitabili”, a concluzionat cercetătorul Sucuri Denis Sinegubko.
„În plus, atrag prea multă atenție și domeniile lor sunt blocate destul de repede. Așa că pare rezonabil să schimbe încărcătura cu ceva mai stealthier, care în același timp poate ajuta la creșterea portofoliului lor de site-uri compromise pentru viitoarele valuri de infecții pe care le vor putea monetiza într-un fel sau altul.”
Cum să Minimizați Costurile Generate de Parole pentru Organizația Dvs
Contul X al firmei Mandiant, spart de o bandă de servicii de drenaj criptografic
Oprirea Facebook și Instagram deconectează utilizatorii, parolele nu funcționează
Hackerii exploatează o vulnerabilitate critică RCE în constructorul de site-uri WordPress Bricks
Formare în securitate cibernetică care nu se lipește? Cum să corectați obiceiurile riscante legate de parole
Leave a Reply