Sites WordPress hackeados que abusam dos navegadores dos visitantes para ataques distribuídos de força bruta

Os atores de ameaças estão conduzindo ataques de força bruta contra sites WordPress, aproveitando injeções maliciosas de JavaScript, revelam novas descobertas da Sucuri.

Os ataques, que assumem a forma de ataques distribuídos de força bruta, “visam sites WordPress a partir de navegadores de visitantes completamente inocentes e desavisados”, disse o pesquisador de segurança Denis Sinegubko.

A atividade faz segmento de uma vaga de ataques documentada anteriormente, na qual sites WordPress comprometidos foram usados ​​para injetar drenadores de criptografia, uma vez que o Angel Drainer, diretamente ou redirecionar visitantes para sites de phishing Web3 contendo malware drenador.

A iteração mais recente é notável pelo vestuário de que as injeções – encontradas em mais de 700 sites até o momento – não carregam um escorredor, mas usam uma lista de senhas comuns e vazadas para forçar outros sites WordPress.

O ataque se desenvolve em cinco etapas, permitindo que um agente de prenúncio aproveite sites já comprometidos para lançar ataques distribuídos de força bruta contra outros sites de possíveis vítimas –

• Obtendo uma lista de sites WordPress fim
• Extraindo nomes de usuário reais de autores que postam nesses domínios
• Injete o código JavaScript malicioso em sites WordPress já infectados
• Lançar um ataque distribuído de força bruta nos sites fim por meio do navegador quando os visitantes acessam os sites hackeados
• Obter chegada não autorizado aos sites de orientação

“Para cada senha na lista, o navegador do visitante envia a solicitação da API wp.uploadFile XML-RPC para fazer upload de um registo com credenciais criptografadas que foram usadas para autenticar esta solicitação específica”, explicou Sinegubko. “Se a autenticação for bem-sucedida, um pequeno registo de texto com credenciais válidas será criado no diretório de uploads do WordPress.”

Atualmente não se sabe o que levou os agentes da prenúncio a mudar de drenadores de criptografia para ataques distribuídos de força bruta, embora se acredite que a mudança possa ter sido impulsionada por motivos de lucro, já que sites WordPress comprometidos poderiam ser monetizados de várias maneiras.

Dito isso, os drenadores de carteiras criptografadas levaram a perdas de centenas de milhões em ativos digitais em 2023, de combinação com dados do Scam Sniffer. Desde portanto, o provedor de soluções anti-scam da Web3 revelou que os drenadores estão explorando o processo de normalização no procedimento de codificação EIP-712 da carteira para ignorar alertas de segurança.

O desenvolvimento ocorre no momento em que o relatório DFIR revela que os agentes de ameaças estão explorando uma irregularidade sátira em um plugin WordPress chamado 3DPrint Lite (CVE-2021-4436, pontuação CVSS: 9,8) para implantar o shell da web Godzilla para chegada remoto persistente.

Ele também segue uma novidade campanha SocGholish (também conhecida uma vez que FakeUpdates) direcionada a sites WordPress nos quais o malware JavaScript é distribuído por meio de versões modificadas de plug-ins legítimos que são instalados aproveitando-se de credenciais de gestor comprometidas.

“Embora tenha havido uma variedade de plug-ins modificados maliciosamente e várias campanhas diferentes de atualização de navegadores falsos, o objetivo é sempre o mesmo: enganar visitantes desavisados ​​do site para que baixem trojans de chegada remoto que mais tarde serão usados ​​uma vez que ponto inicial de ingresso por um ataque de ransomware”, disse o pesquisador de segurança Ben Martin.