Gli hacker stanno lanciando attacchi su larga scala contro siti WordPress per iniettare script che costringono i browser dei visitatori a eseguire attacchi brute force per scoprire le password di altri siti.
Questa campagna รจ stata rilevata per la prima volta da Sucuri, unโazienda di cybersecurity per siti web, che sta monitorando un attore di minaccia noto per aver violato siti per iniettare script per il drenaggio di portafogli crypto. Questi script maliziosi rubano tutte le criptovalute e gli asset quando qualcuno collega il proprio portafoglio al sito compromesso.
Recentemente, Sucuri ha osservato che lโattore di minaccia ha cambiato tattica, passando dal drenaggio di portafogli crypto al dirottamento dei browser dei visitatori per eseguire attacchi brute force su altri siti WordPress utilizzando uno script malevolo da un dominio appena registrato.
Costruzione di un esercito di brute force
Lโattore di minaccia sta utilizzando siti WordPress compromessi per caricare script che costringono i browser dei visitatori a condurre attacchi brute force per ottenere le credenziali di account su altri siti web. Un attacco brute force avviene quando un attore di minaccia tenta di accedere a un account utilizzando diverse password per indovinare quella corretta. Con le credenziali, lโattore di minaccia puรฒ rubare dati, iniettare script malevoli o crittografare file sul sito.
Parte di questa campagna di hacking coinvolge la compromissione di un sito WordPress per iniettare codice malevolo nei modelli HTML. Quando i visitatori accedono al sito, gli script vengono caricati nel loro browser e iniziano a eseguire i compiti di brute force ricevuti dal server dellโattore di minaccia.
Conseguenze dellโattacco
Questi script faranno sรฌ che il browser tenti silenziosamente di caricare un file utilizzando lโinterfaccia XMLRPC del sito WordPress utilizzando il nome account e le password forniti nei dati JSON. Se una password risulta corretta, lo script notificherร il server dellโattore di minaccia, che potrร quindi connettersi al sito per recuperare il file caricato contenente la coppia username e password codificata in base64.
Finchรฉ la pagina rimane aperta, lo script malevolo farร sรฌ che il browser web si ricolleghi ripetutamente al server dellโattaccante per ricevere un nuovo compito da eseguire.
Secondo le ricerche, attualmente ci sono oltre 1.700 siti compromessi con questi script o i loro loader, creando un vasto esercito di utenti inconsapevoli reclutati per eseguire questi attacchi brute force distribuiti.
Non รจ chiaro perchรฉ gli attori di minaccia abbiano cambiato tattica, passando dallโiniettare drenatori di portafogli crypto al brute forcing di altri siti. Tuttavia, Sucuri ritiene che ciรฒ sia fatto per costruire un portfolio piรน ampio di siti compromessi da cui lanciare ulteriori attacchi su larga scala, come gli attacchi di drenaggio crypto.