Los actores de amenazas est\u00e1n llevando a cabo ataques de fuerza bruta contra sitios de WordPress aprovechando inyecciones maliciosas de JavaScript, revelan nuevos hallazgos de Sucuri.<\/p>\n
Los ataques, que se realizan en forma de ataques distribuidos de fuerza bruta, “se dirigen a sitios web de WordPress desde navegadores de visitantes completamente inocentes y desprevenidos”, seg\u00fan el investigador de seguridad Denis Sinegubko. dicho<\/a>.<\/p>\n La actividad es parte de una ola de ataques previamente documentada en la que se utilizaron sitios de WordPress comprometidos para inyectar directamente drenajes criptogr\u00e1ficos como Angel Drainer o redirigir a los visitantes del sitio a sitios de phishing Web3 que contienen malware drenaje.<\/p>\n La \u00faltima versi\u00f3n se destaca por el hecho de que las inyecciones (que se encuentran en m\u00e1s de 700 sitios<\/a> hasta la fecha: no cargue un drenaje, sino utilice una lista de contrase\u00f1as comunes y filtradas para forzar fuerza bruta a otros sitios de WordPress.<\/p>\n El ataque se desarrolla en cinco etapas, lo que permite a un actor de amenazas aprovechar sitios web ya comprometidos para lanzar ataques distribuidos de fuerza bruta contra otros sitios potenciales v\u00edctimas:<\/p>\n “Para cada contrase\u00f1a de la lista, el navegador del visitante env\u00eda la solicitud API wp.uploadFile XML-RPC para cargar un archivo con las credenciales cifradas que se utilizaron para autenticar esta solicitud espec\u00edfica”, explic\u00f3 Sinegubko. “Si la autenticaci\u00f3n se realiza correctamente, se crea un peque\u00f1o archivo de texto con credenciales v\u00e1lidas en el directorio de cargas de WordPress”.<\/p>\n Actualmente no se sabe qu\u00e9 impuls\u00f3 a los actores de amenazas a pasar de los drenadores de criptomonedas al ataque distribuido de fuerza bruta, aunque se cree que el cambio puede haber sido impulsado por motivos de lucro, ya que los sitios de WordPress comprometidos podr\u00edan monetizarse de varias maneras.<\/p>\n Dicho esto, los drenajes de criptomonedas han provocado p\u00e9rdidas por valor de cientos de millones en activos digitales en 2023, seg\u00fan datos de Scam Sniffer. Desde entonces, el proveedor de soluciones antiestafa Web3 revel\u00f3<\/a> que los drenadores est\u00e1n explotando el proceso de normalizaci\u00f3n en la billetera EIP-712<\/a> procedimiento de codificaci\u00f3n para eludir las alertas de seguridad.<\/p>\n El desarrollo se produce como el informe DFIR. revel\u00f3<\/a> que los actores de amenazas est\u00e1n explotando una falla cr\u00edtica en un complemento de WordPress llamado 3DPrint Lite (CVE-2021-4436<\/a>puntuaci\u00f3n CVSS: 9,8) para implementar el shell web de Godzilla para acceso remoto persistente.<\/p>\n Tambi\u00e9n sigue a una nueva campa\u00f1a de SocGholish (tambi\u00e9n conocida como FakeUpdates) dirigida a sitios web de WordPress en la que el malware JavaScript se distribuye a trav\u00e9s de versiones modificadas de complementos leg\u00edtimos que se instalan aprovechando las credenciales de administrador comprometidas.<\/p>\n “Aunque ha habido una variedad de complementos modificados maliciosamente y varias campa\u00f1as diferentes de actualizaci\u00f3n falsa de navegadores, el objetivo, por supuesto, es siempre el mismo: enga\u00f1ar a los visitantes desprevenidos del sitio web para que descarguen troyanos de acceso remoto que luego se utilizar\u00e1n como punto de entrada inicial. para un ataque de ransomware”, dijo el investigador de seguridad Ben Martin dicho<\/a>.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/Sitios-de-WordPress-pirateados-que-abusan-de-los-navegadores-de.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n