Agentes de ameaças continuam a intensificar ataques de brute force contra sites WordPress, utilizando injeções maliciosas de JavaScript, conforme revelado por recentes descobertas da Sucuri.
São diversos ataques distribuídos de brute force, “miram sites WordPress através dos navegadores”, afirmou o pesquisador de segurança Denis Sinegubko.
A atividade faz parte de uma tendência de ataques previamente documentada, na qual sites WordPress comprometidos foram empregados para injetar cripto mineradores, como o Angel Drainer, diretamente ou redirecionar os visitantes do site para páginas Web3 de phishing que contêm malware.
Exploração
O ataque se desdobra em cinco estágios, possibilitando que um agente de ameaças explore sites já comprometidos para lançar ataques distribuídos de brute force contra outros sites potenciais de vítimas –
- Obtenção de uma lista de sites WordPress de destino
- Extração de nomes de usuário reais de autores que postam nesses domínios
- Injeção de código JavaScript malicioso em sites WordPress já infectados
- Lançamento de um ataque de brute force distribuído nos sites alvo por meio do navegador quando os visitantes acessam os sites comprometidos
- Obtenção de acesso não autorizado aos sites de destino
“Para cada senha na lista, o navegador do visitante envia a solicitação API wp.uploadFile XML-RPC para fazer upload de um arquivo com credenciais criptografadas que foram usadas para autenticar essa solicitação específica”, explicou Sinegubko. “Se a autenticação for bem-sucedida, um pequeno arquivo de texto com credenciais válidas é criado no diretório de uploads do WordPress.”
Atualmente, não se sabe o que motivou os atacantes a migrarem de cripto mineradores para ataques distribuídos de brute force, embora acredite-se que a mudança possa ter sido impulsionada por motivos lucrativos, já que sites WordPress comprometidos poderiam ser monetizados de várias maneiras.
No entanto, os cripto mineradores resultaram em perdas que totalizaram centenas de milhões em ativos digitais em 2023, de acordo com dados do Scam Sniffer. A empresa provedora de soluções anti-fraude na Web3 revelou que os mineradores estão explorando o processo de codificação EIP-712 na carteira para contornar alertas de segurança.
Essa evolução ocorre à medida que um relatório DFIR revelou que os atores de ameaças estão explorando uma falha crítica em um plugin WordPress chamado 3DPrint Lite (CVE-2021-4436, pontuação CVSS: 9.8) para implantar a web shell Godzilla para acesso remoto persistente.
Além disso, há uma nova campanha SocGholish (também conhecida como FakeUpdates) direcionada a sites WordPress, na qual o malware JavaScript é distribuído por meio de versões modificadas de plugins legítimos, instalados ao aproveitar credenciais de admin comprometidas.
“Embora tenham ocorrido várias modificações maliciosas de plugins e diversas campanhas falsas de atualização de navegador, o objetivo, é claro, é sempre o mesmo: enganar visitantes desavisados do site para baixar trojans de acesso remoto que serão posteriormente utilizados como ponto de entrada inicial para um ataque de ransomware”, afirmou o pesquisador de segurança Ben Martin.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que prioriza riscos cibernéticos críticos para os negócios, integrando IA para segurança avançada. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.