Търсене
Close this search box.

Хакнати сайтове на WordPress, злоупотребяват с браузърите на посетителите

Заплахите извършват атаки с груба сила срещу сайтове на WordPress, като използват зловредни инжекции на JavaScript – разкриват нови данни на Sucuri.

Атаките, които са под формата на разпределени атаки с груба сила, „са насочени към уебсайтове на WordPress от браузърите на напълно невинни и нищо неподозиращи посетители на сайта“, казва изследователят по сигурността Денис Синегубко.

Дейността е част от документирана по-рано вълна от атаки, при която компрометирани WordPress сайтове са били използвани за директно инжектиране на криптодрейнери като Angel Drainer или за пренасочване на посетителите на сайта към фишинг сайтове Web3, съдържащи зловреден софтуер за дрейнери.

Последната итерация се отличава с факта, че инжекциите – открити в над 700 сайта до момента – не зареждат дрейнер, а по-скоро използват списък с общи и изтекли пароли за грубо пробиване на други WordPress сайтове.

Атаката се разгръща на пет етапа, което дава възможност на извършителя на заплахата да се възползва от вече компрометирани уебсайтове, за да започне разпределени атаки с груба сила срещу други потенциални сайтове жертви –

  • Получаване на списък с целеви WordPress сайтове
  • Извличане на истинските потребителски имена на авторите, които публикуват в тези домейни
  • Инжектиране на зловредния JavaScript код във вече заразени WordPress сайтове
  • Стартиране на разпределена атака с груба сила на целевите сайтове чрез браузъра, когато посетителите попаднат на хакнатите сайтове
  • Получаване на неоторизиран достъп до целевите сайтове

„За всяка парола в списъка браузърът на посетителя изпраща заявката wp.uploadFile XML-RPC API за качване на файл с криптирани данни, използвани за удостоверяване на тази конкретна заявка“, обяснява Синегубко. „Ако удостоверяването е успешно, в директорията за качване на WordPress се създава малък текстов файл с валидни пълномощия.“

Понастоящем не е известно какво е накарало хакерите да преминат от криптографски дрейвъри към разпределена brute-force атака, въпреки че се смята, че промяната може да е била продиктувана от мотиви за печалба, тъй като компрометираните WordPress сайтове могат да бъдат монетизирани по различни начини.

При все това, според данни от Scam Sniffer, през 2023 г. дренажите на крипто портфейли са довели до загуби, възлизащи на стотици милиони в цифрови активи. Доставчикът на решения за борба с измамите Web3 междувременно разкри, че източващите използват процеса на нормализация в процедурата за кодиране EIP-712 на портфейла, за да заобикалят сигналите за сигурност.

Развитието на ситуацията идва в момент, когато докладът на DFIR разкри, че участниците в заплахите използват критичен недостатък в плъгин за WordPress, наречен 3DPrint Lite (CVE-2021-4436, CVSS оценка: 9,8), за да разгърнат уеб обвивката Godzilla за постоянен отдалечен достъп.

Тя следва и нова кампания SocGholish (известна още като FakeUpdates), насочена към уебсайтове на WordPress, при която зловредният софтуер на JavaScript се разпространява чрез модифицирани версии на легитимни плъгини, които се инсталират, като се използват компрометирани идентификационни данни на администратора.

„Въпреки че има различни злонамерено модифицирани плъгини и няколко различни кампании за фалшиви актуализации на браузъри, целта, разбира се, винаги е една и съща: да се подмамят нищо неподозиращите посетители на уебсайтове да изтеглят троянски коне за отдалечен достъп, които по-късно ще бъдат използвани като първоначална точка за влизане в атака с рансъмуер“, казва изследователят по сигурността Бен Мартин.

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
Бъдете социални
Още по темата
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
09/04/2024

Виетнамската група за кибер...

Новопоявила се група за киберпрестъпления, свързана...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!