Les acteurs malveillants mènent des attaques par force brute contre les sites WordPress en exploitant des injections JavaScript malveillantes, révèlent de nouvelles découvertes de Sucuri.
Les attaques, qui prennent la forme d’attaques distribuées par force brute, « ciblent les sites Web WordPress à partir des navigateurs de visiteurs totalement innocents et sans méfiance », selon le chercheur en sécurité Denis Sinegubko. dit.
Cette activité fait partie d’une vague d’attaques précédemment documentée dans laquelle des sites WordPress compromis ont été utilisés pour injecter directement des draineurs de chiffrement tels qu’Angel Drainer ou rediriger les visiteurs du site vers des sites de phishing Web3 contenant des logiciels malveillants draineurs.
La dernière itération se distingue par le fait que les injections – trouvées sur plus de 700 sites à ce jour – ne chargez pas un draineur, mais utilisez plutôt une liste de mots de passe courants et divulgués pour forcer brutalement d’autres sites WordPress.
L’attaque se déroule en cinq étapes, permettant à un acteur malveillant de profiter de sites Web déjà compromis pour lancer des attaques distribuées par force brute contre d’autres sites de victimes potentielles :
- Obtention d’une liste de sites WordPress cibles
- Extraire les vrais noms d’utilisateur des auteurs qui publient sur ces domaines
- Injecter le code JavaScript malveillant sur des sites WordPress déjà infectés
- Lancer une attaque distribuée par force brute sur les sites cibles via le navigateur lorsque les visiteurs atterrissent sur les sites piratés
- Obtenir un accès non autorisé aux sites cibles
« Pour chaque mot de passe de la liste, le navigateur du visiteur envoie la requête API wp.uploadFile XML-RPC pour télécharger un fichier avec les informations d’identification cryptées qui ont été utilisées pour authentifier cette requête spécifique », a expliqué Sinegubko. « Si l’authentification réussit, un petit fichier texte avec des informations d’identification valides est créé dans le répertoire de téléchargement WordPress. »
On ne sait pas actuellement ce qui a poussé les acteurs de la menace à passer des draineurs de crypto-monnaies aux attaques distribuées par force brute, même si l’on pense que ce changement pourrait avoir été motivé par des motivations de profit, car les sites WordPress compromis pourraient être monétisés de diverses manières.
Cela dit, les draineurs de portefeuilles cryptographiques ont entraîné des pertes s’élevant à des centaines de millions d’actifs numériques en 2023, selon les données de Scam Sniffer. Le fournisseur de solutions anti-arnaque Web3 a depuis révélé que les draineurs exploitent le processus de normalisation dans le portefeuille EIP-712 procédure d’encodage pour contourner les alertes de sécurité.
Le développement intervient alors que le rapport DFIR révélé que les acteurs malveillants exploitent une faille critique dans un plugin WordPress nommé 3DPrint Lite (CVE-2021-4436score CVSS : 9,8) pour déployer le shell Web Godzilla pour un accès à distance persistant.
Cela fait également suite à une nouvelle campagne SocGholish (alias FakeUpdates) ciblant les sites Web WordPress dans lesquels le malware JavaScript est distribué via des versions modifiées de plugins légitimes installés en tirant parti d’informations d’identification d’administrateur compromises.
« Bien qu’il y ait eu une variété de plugins modifiés de manière malveillante et plusieurs campagnes de mise à jour de faux navigateurs, l’objectif est bien sûr toujours le même : inciter les visiteurs de sites Web sans méfiance à télécharger des chevaux de Troie d’accès à distance qui seront ensuite utilisés comme point d’entrée initial. pour une attaque de ransomware », le chercheur en sécurité Ben Martin dit.