Los actores de amenazas están llevando a cabo ataques de fuerza bruta contra sitios de WordPress aprovechando inyecciones maliciosas de JavaScript, revelan nuevos hallazgos de Sucuri.
Los ataques, que se realizan en forma de ataques distribuidos de fuerza bruta, “se dirigen a sitios web de WordPress desde navegadores de visitantes completamente inocentes y desprevenidos”, según el investigador de seguridad Denis Sinegubko. dicho.
La actividad es parte de una ola de ataques previamente documentada en la que se utilizaron sitios de WordPress comprometidos para inyectar directamente drenajes criptográficos como Angel Drainer o redirigir a los visitantes del sitio a sitios de phishing Web3 que contienen malware drenaje.
La última versión se destaca por el hecho de que las inyecciones (que se encuentran en más de 700 sitios hasta la fecha: no cargue un drenaje, sino utilice una lista de contraseñas comunes y filtradas para forzar fuerza bruta a otros sitios de WordPress.
El ataque se desarrolla en cinco etapas, lo que permite a un actor de amenazas aprovechar sitios web ya comprometidos para lanzar ataques distribuidos de fuerza bruta contra otros sitios potenciales víctimas:
- Obtener una lista de sitios de WordPress de destino
- Extraer nombres de usuario reales de autores que publican en esos dominios
- Inyecte el código JavaScript malicioso en sitios de WordPress ya infectados
- Lanzar un ataque distribuido de fuerza bruta en los sitios de destino a través del navegador cuando los visitantes llegan a los sitios pirateados.
- Obtener acceso no autorizado a los sitios de destino
“Para cada contraseña de la lista, el navegador del visitante envía la solicitud API wp.uploadFile XML-RPC para cargar un archivo con las credenciales cifradas que se utilizaron para autenticar esta solicitud específica”, explicó Sinegubko. “Si la autenticación se realiza correctamente, se crea un pequeño archivo de texto con credenciales válidas en el directorio de cargas de WordPress”.
Actualmente no se sabe qué impulsó a los actores de amenazas a pasar de los drenadores de criptomonedas al ataque distribuido de fuerza bruta, aunque se cree que el cambio puede haber sido impulsado por motivos de lucro, ya que los sitios de WordPress comprometidos podrían monetizarse de varias maneras.
Dicho esto, los drenajes de criptomonedas han provocado pérdidas por valor de cientos de millones en activos digitales en 2023, según datos de Scam Sniffer. Desde entonces, el proveedor de soluciones antiestafa Web3 reveló que los drenadores están explotando el proceso de normalización en la billetera EIP-712 procedimiento de codificación para eludir las alertas de seguridad.
El desarrollo se produce como el informe DFIR. reveló que los actores de amenazas están explotando una falla crítica en un complemento de WordPress llamado 3DPrint Lite (CVE-2021-4436puntuación CVSS: 9,8) para implementar el shell web de Godzilla para acceso remoto persistente.
También sigue a una nueva campaña de SocGholish (también conocida como FakeUpdates) dirigida a sitios web de WordPress en la que el malware JavaScript se distribuye a través de versiones modificadas de complementos legítimos que se instalan aprovechando las credenciales de administrador comprometidas.
“Aunque ha habido una variedad de complementos modificados maliciosamente y varias campañas diferentes de actualización falsa de navegadores, el objetivo, por supuesto, es siempre el mismo: engañar a los visitantes desprevenidos del sitio web para que descarguen troyanos de acceso remoto que luego se utilizarán como punto de entrada inicial. para un ataque de ransomware”, dijo el investigador de seguridad Ben Martin dicho.