Os atores de ameaças estão conduzindo ataques de força bruta contra sites WordPress, aproveitando injeções maliciosas de JavaScript, revelam novas descobertas da Sucuri.
Os ataques, que assumem a forma de ataques distribuídos de força bruta, “visam sites WordPress a partir de navegadores de visitantes completamente inocentes e desavisados”, disse o pesquisador de segurança Denis Sinegubko.
A atividade faz segmento de uma vaga de ataques documentada anteriormente, na qual sites WordPress comprometidos foram usados para injetar drenadores de criptografia, uma vez que o Angel Drainer, diretamente ou redirecionar visitantes para sites de phishing Web3 contendo malware drenador.
A iteração mais recente é notável pelo vestuário de que as injeções – encontradas em mais de 700 sites até o momento – não carregam um escorredor, mas usam uma lista de senhas comuns e vazadas para forçar outros sites WordPress.
O ataque se desenvolve em cinco etapas, permitindo que um agente de prenúncio aproveite sites já comprometidos para lançar ataques distribuídos de força bruta contra outros sites de possíveis vítimas –
- Obtendo uma lista de sites WordPress fim
- Extraindo nomes de usuário reais de autores que postam nesses domínios
- Injete o código JavaScript malicioso em sites WordPress já infectados
- Lançar um ataque distribuído de força bruta nos sites fim por meio do navegador quando os visitantes acessam os sites hackeados
- Obter chegada não autorizado aos sites de orientação
“Para cada senha na lista, o navegador do visitante envia a solicitação da API wp.uploadFile XML-RPC para fazer upload de um registo com credenciais criptografadas que foram usadas para autenticar esta solicitação específica”, explicou Sinegubko. “Se a autenticação for bem-sucedida, um pequeno registo de texto com credenciais válidas será criado no diretório de uploads do WordPress.”
Atualmente não se sabe o que levou os agentes da prenúncio a mudar de drenadores de criptografia para ataques distribuídos de força bruta, embora se acredite que a mudança possa ter sido impulsionada por motivos de lucro, já que sites WordPress comprometidos poderiam ser monetizados de várias maneiras.
Dito isso, os drenadores de carteiras criptografadas levaram a perdas de centenas de milhões em ativos digitais em 2023, de combinação com dados do Scam Sniffer. Desde portanto, o provedor de soluções anti-scam da Web3 revelou que os drenadores estão explorando o processo de normalização no procedimento de codificação EIP-712 da carteira para ignorar alertas de segurança.
O desenvolvimento ocorre no momento em que o relatório DFIR revela que os agentes de ameaças estão explorando uma irregularidade sátira em um plugin WordPress chamado 3DPrint Lite (CVE-2021-4436, pontuação CVSS: 9,8) para implantar o shell da web Godzilla para chegada remoto persistente.
Ele também segue uma novidade campanha SocGholish (também conhecida uma vez que FakeUpdates) direcionada a sites WordPress nos quais o malware JavaScript é distribuído por meio de versões modificadas de plug-ins legítimos que são instalados aproveitando-se de credenciais de gestor comprometidas.
“Embora tenha havido uma variedade de plug-ins modificados maliciosamente e várias campanhas diferentes de atualização de navegadores falsos, o objetivo é sempre o mesmo: enganar visitantes desavisados do site para que baixem trojans de chegada remoto que mais tarde serão usados uma vez que ponto inicial de ingresso por um ataque de ransomware”, disse o pesquisador de segurança Ben Martin.