Gli hacker stanno lanciando attacchi su larga scala contro siti WordPress per iniettare script che costringono i browser dei visitatori a eseguire attacchi brute force per scoprire le password di altri siti.
Questa campagna è stata rilevata per la prima volta da Sucuri, un’azienda di cybersecurity per siti web, che sta monitorando un attore di minaccia noto per aver violato siti per iniettare script per il drenaggio di portafogli crypto. Questi script maliziosi rubano tutte le criptovalute e gli asset quando qualcuno collega il proprio portafoglio al sito compromesso.
Recentemente, Sucuri ha osservato che l’attore di minaccia ha cambiato tattica, passando dal drenaggio di portafogli crypto al dirottamento dei browser dei visitatori per eseguire attacchi brute force su altri siti WordPress utilizzando uno script malevolo da un dominio appena registrato.
Costruzione di un esercito di brute force
L’attore di minaccia sta utilizzando siti WordPress compromessi per caricare script che costringono i browser dei visitatori a condurre attacchi brute force per ottenere le credenziali di account su altri siti web. Un attacco brute force avviene quando un attore di minaccia tenta di accedere a un account utilizzando diverse password per indovinare quella corretta. Con le credenziali, l’attore di minaccia può rubare dati, iniettare script malevoli o crittografare file sul sito.
Parte di questa campagna di hacking coinvolge la compromissione di un sito WordPress per iniettare codice malevolo nei modelli HTML. Quando i visitatori accedono al sito, gli script vengono caricati nel loro browser e iniziano a eseguire i compiti di brute force ricevuti dal server dell’attore di minaccia.
Conseguenze dell’attacco
Questi script faranno sì che il browser tenti silenziosamente di caricare un file utilizzando l’interfaccia XMLRPC del sito WordPress utilizzando il nome account e le password forniti nei dati JSON. Se una password risulta corretta, lo script notificherà il server dell’attore di minaccia, che potrà quindi connettersi al sito per recuperare il file caricato contenente la coppia username e password codificata in base64.
Finché la pagina rimane aperta, lo script malevolo farà sì che il browser web si ricolleghi ripetutamente al server dell’attaccante per ricevere un nuovo compito da eseguire.
Secondo le ricerche, attualmente ci sono oltre 1.700 siti compromessi con questi script o i loro loader, creando un vasto esercito di utenti inconsapevoli reclutati per eseguire questi attacchi brute force distribuiti.
Non è chiaro perché gli attori di minaccia abbiano cambiato tattica, passando dall’iniettare drenatori di portafogli crypto al brute forcing di altri siti. Tuttavia, Sucuri ritiene che ciò sia fatto per costruire un portfolio più ampio di siti compromessi da cui lanciare ulteriori attacchi su larga scala, come gli attacchi di drenaggio crypto.
