WordPress hackerati utilizzano i Browser dei visitatori per attaccare altri siti

da Livio Varriale
0 commenti 2 minuti leggi

Gli hacker stanno lanciando attacchi su larga scala contro siti WordPress per iniettare script che costringono i browser dei visitatori a eseguire attacchi brute force per scoprire le password di altri siti.

Annunci

Questa campagna รจ stata rilevata per la prima volta da Sucuri, unโ€™azienda di cybersecurity per siti web, che sta monitorando un attore di minaccia noto per aver violato siti per iniettare script per il drenaggio di portafogli crypto. Questi script maliziosi rubano tutte le criptovalute e gli asset quando qualcuno collega il proprio portafoglio al sito compromesso.

Recentemente, Sucuri ha osservato che lโ€™attore di minaccia ha cambiato tattica, passando dal drenaggio di portafogli crypto al dirottamento dei browser dei visitatori per eseguire attacchi brute force su altri siti WordPress utilizzando uno script malevolo da un dominio appena registrato.

Costruzione di un esercito di brute force

Lโ€™attore di minaccia sta utilizzando siti WordPress compromessi per caricare script che costringono i browser dei visitatori a condurre attacchi brute force per ottenere le credenziali di account su altri siti web. Un attacco brute force avviene quando un attore di minaccia tenta di accedere a un account utilizzando diverse password per indovinare quella corretta. Con le credenziali, lโ€™attore di minaccia puรฒ rubare dati, iniettare script malevoli o crittografare file sul sito.

Parte di questa campagna di hacking coinvolge la compromissione di un sito WordPress per iniettare codice malevolo nei modelli HTML. Quando i visitatori accedono al sito, gli script vengono caricati nel loro browser e iniziano a eseguire i compiti di brute force ricevuti dal server dellโ€™attore di minaccia.

Conseguenze dellโ€™attacco

Questi script faranno sรฌ che il browser tenti silenziosamente di caricare un file utilizzando lโ€™interfaccia XMLRPC del sito WordPress utilizzando il nome account e le password forniti nei dati JSON. Se una password risulta corretta, lo script notificherร  il server dellโ€™attore di minaccia, che potrร  quindi connettersi al sito per recuperare il file caricato contenente la coppia username e password codificata in base64.

Finchรฉ la pagina rimane aperta, lo script malevolo farร  sรฌ che il browser web si ricolleghi ripetutamente al server dellโ€™attaccante per ricevere un nuovo compito da eseguire.

Secondo le ricerche, attualmente ci sono oltre 1.700 siti compromessi con questi script o i loro loader, creando un vasto esercito di utenti inconsapevoli reclutati per eseguire questi attacchi brute force distribuiti.

Non รจ chiaro perchรฉ gli attori di minaccia abbiano cambiato tattica, passando dallโ€™iniettare drenatori di portafogli crypto al brute forcing di altri siti. Tuttavia, Sucuri ritiene che ciรฒ sia fatto per costruire un portfolio piรน ampio di siti compromessi da cui lanciare ulteriori attacchi su larga scala, come gli attacchi di drenaggio crypto.

Si puรฒ anche come

MatriceDigitale.it – Copyright ยฉ 2024, Livio Varriale – Registrazione Tribunale di Napoli nยฐ 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byย Giuseppe Ferrara