Sucuri’nin yeni bulguları, tehdit aktörlerinin kötü amaçlı JavaScript enjeksiyonlarından yararlanarak WordPress sitelerine kaba kuvvet saldırıları gerçekleştirdiğini ortaya koyuyor.
Güvenlik araştırmacısı Denis Sinegubko, dağıtılmış kaba kuvvet saldırıları şeklini alan saldırıların “tamamen masum ve şüphelenmeyen site ziyaretçilerinin tarayıcılarından WordPress web sitelerini hedef aldığını” söylüyor. söz konusu.
Etkinlik, güvenliği ihlal edilmiş WordPress sitelerinin Angel Drainer gibi kripto filtrelerini doğrudan enjekte etmek veya site ziyaretçilerini drenaj kötü amaçlı yazılım içeren Web3 kimlik avı sitelerine yönlendirmek için kullanıldığı, daha önce belgelenen bir saldırı dalgasının bir parçasıdır.
En son yineleme, şu adreste bulunan enjeksiyonların dikkat çekicidir: 700’den fazla site bugüne kadar – bir süzgeç yüklemeyin, bunun yerine diğer WordPress sitelerine kaba kuvvet uygulamak için yaygın ve sızdırılmış şifrelerin bir listesini kullanın.
Saldırı beş aşamadan oluşuyor ve bir tehdit aktörünün halihazırda güvenliği ihlal edilmiş web sitelerinden yararlanarak diğer potansiyel kurban sitelere dağıtılmış kaba kuvvet saldırıları başlatmasına olanak tanıyor.
- Hedef WordPress sitelerinin bir listesini alma
- Bu alanlarda paylaşım yapan yazarların gerçek kullanıcı adlarının çıkarılması
- Kötü amaçlı JavaScript kodunu zaten virüs bulaşmış WordPress sitelerine enjekte edin
- Ziyaretçiler saldırıya uğramış sitelere geldiğinde tarayıcı aracılığıyla hedef sitelere dağıtılmış kaba kuvvet saldırısı başlatmak
- Hedef sitelere yetkisiz erişim elde etmek
Sinegubko, “Listedeki her şifre için, ziyaretçinin tarayıcısı, bu özel isteğin kimliğini doğrulamak için kullanılan şifrelenmiş kimlik bilgilerine sahip bir dosyayı yüklemek üzere wp.uploadFile XML-RPC API isteğini gönderir.” diye açıkladı. “Kimlik doğrulama başarılı olursa, WordPress yükleme dizininde geçerli kimlik bilgilerine sahip küçük bir metin dosyası oluşturulur.”
Tehdit aktörlerinin kripto zararlılarından dağıtılmış kaba kuvvet saldırısına geçiş yapmasına neyin sebep olduğu şu anda bilinmiyor; ancak ele geçirilen WordPress sitelerinden çeşitli yollarla para kazanılabileceği için bu değişikliğin kâr amacından kaynaklanmış olabileceğine inanılıyor.
Bununla birlikte, Scam Sniffer’ın verilerine göre, kripto cüzdanı tüketenlerin 2023 yılında dijital varlıklarda yüz milyonlarca dolarlık kayba yol açtığı belirtiliyor. Web3 dolandırıcılık karşıtı çözüm sağlayıcısı o zamandan beri açıklığa kavuşmuş süzgeçlerin cüzdandaki normalleşme sürecinden yararlandığını EIP-712 Güvenlik uyarılarını atlamak için kodlama prosedürü.
Gelişme DFIR raporu olarak geliyor açıklığa kavuşmuş Tehdit aktörlerinin 3DPrint Lite adlı WordPress eklentisindeki kritik bir kusurdan yararlandığı (CVE-2021-4436CVSS puanı: 9,8) kalıcı uzaktan erişim için Godzilla web kabuğunu dağıtmak için.
Bu aynı zamanda, JavaScript kötü amaçlı yazılımının, tehlikeye atılmış yönetici kimlik bilgilerinden yararlanılarak yüklenen meşru eklentilerin değiştirilmiş sürümleri aracılığıyla dağıtıldığı WordPress web sitelerini hedef alan yeni bir SocGholish (diğer adıyla FakeUpdates) kampanyasını da takip ediyor.
“Kötü amaçla değiştirilmiş çeşitli eklentiler ve birkaç farklı sahte tarayıcı güncelleme kampanyası olmasına rağmen, elbette amaç her zaman aynıdır: Şüphelenmeyen web sitesi ziyaretçilerini, daha sonra ilk giriş noktası olarak kullanılacak uzaktan erişim truva atlarını indirmeleri için kandırmak. bir fidye yazılımı saldırısı için” güvenlik araştırmacısı Ben Martin söz konusu.
