Η εταιρεία κυβερνοασφάλειας Sucuri εντόπισε επιθέσεις σε WordPress sites, με σκοπό την εισαγωγή scripts που αναγκάζουν τα προγράμματα περιήγησης των επισκεπτών να κάνουν bruteforce για να ανακαλύψουν κωδικούς πρόσβασης για άλλους ιστότοπους.

Οι ερευνητές ανακάλυψαν την καμπάνια, ενώ παρακολουθούσαν έναν παράγοντα απειλών που είναι γνωστός για την παραβίαση ιστότοπων για την εισαγωγή scripts για την κλοπή crypto.

Τα Crypto wallet drainers είναι κακόβουλα scripts που κλέβουν όλα τα κρυπτονομίσματα και τα περιουσιακά στοιχεία. Όταν οι χρήστες επισκέπτονται τους παραβιασμένους ιστότοπους, τα scripts εμφανίζουν παραπλανητικά μηνύματα για να τους πείσουν να συνδέσουν τα πορτοφόλια τους στον ιστότοπο. Μόλις γίνει αυτό, ξεκινά η κλοπή των crypto assets του θύματος.

Δείτε επίσης: LiteSpeed ​​Cache WordPress: Σε κίνδυνο εκατομμύρια sites λόγω ευπάθειας

Οι ερευνητές της Sucuri ανέφεραν ότι στη συγκεκριμένη καμπάνια, οι επιτιθέμενοι χρησιμοποιούσαν παραβιασμένα WordPress sites για να εισάγουν AngelDrainer wallet drainer.

Στα τέλη Φεβρουαρίου, οι επιτιθέμενοι άλλαξαν τακτική, αφήνοντας το wallet draining και επιλέγοντας την παραβίαση των προγραμμάτων περιήγησης επισκεπτών για να κλέψουν κωδικούς για άλλα WordPress sites. Αυτό το έκαναν χρησιμοποιώντας ένα κακόβουλο script από ένα πρόσφατα καταχωρημένο domain «dynamic-linx[.]com/chx.js».

Bruteforce army

Σύμφωνα με την αναφορά της Sucuri, οι επιτιθέμενοι χρησιμοποιούν παραβιασμένα WordPress sites για να φορτώσουν scripts που αναγκάζουν τα προγράμματα περιήγησης των επισκεπτών να πραγματοποιούν επιθέσεις bruteforce για να βρουν τα credentials για άλλους ιστότοπους.

Στις επιθέσεις bruteforce, γίνονται απόπειρες πρόσβασης σε έναν λογαριασμό με διαφορετικούς κωδικούς πρόσβασης, μέχρι να βρεθεί ο σωστός.

Ως μέρος αυτής της εκστρατείας , οι επιτιθέμενοι παραβιάζουν WordPress sites για να εισάγουν κακόβουλο κώδικα στα HTML templates. Όταν οι επισκέπτες έχουν πρόσβαση στον ιστότοπο, τα scripts φορτώνονται στο πρόγραμμα περιήγησής τους από τη διεύθυνση https://dynamic-linx[.]com/chx.js.

Στη συνέχεια, το πρόγραμμα περιήγησης του επισκέπτη ξεκινά μια κρυφή επικοινωνία με τον διακομιστή των επιτιθέμενων, στη διεύθυνση ‘https://dynamic-linx[.]com/getTask.php’, ώστε να λάβει το task για το password bruteforcing.

Δείτε επίσης: Ultimate Member: Κρίσιμη ευπάθεια στο WordPress plugin

Το task έρχεται με τη μορφή ενός αρχείου JSON που περιέχει τις παραμέτρους για την επίθεση bruteforce. Το script θα αναγκάσει το πρόγραμμα περιήγησης του επισκέπτη να μεταφορτώσει ένα αρχείο χρησιμοποιώντας το XMLRPC interface του ιστότοπου WordPress, χρησιμοποιώντας το όνομα λογαριασμού και τους κωδικούς πρόσβασης στα JSON data.

Εάν ένας κωδικός πρόσβασης είναι ακριβής, το script θα ειδοποιήσει τον διακομιστή του επιτιθέμενου ότι βρέθηκε σωστός κωδικός για τον ιστότοπο. Οι επιτιθέμενοι μπορούν να συνδεθούν στον ιστότοπο για να ανακτήσουν το μεταφορτωμένο αρχείο που περιέχει το κωδικοποιημένο ζεύγος ονόματος χρήστη και κωδικού πρόσβασης.

Σύμφωνα με το PublicHTML, υπάρχουν πάνω από 1.700 ιστότοποι που έχουν παραβιαστεί με αυτά τα scripts ή τους loaders τους, και έτσι υπάρχουν χιλιάδες χρήστες που χωρίς να το ξέρουν, συμμετέχουν σε αυτές τις επιθέσεις bruteforce.

Παραβίαση WordPress sites και χρήση browsers για περαιτέρω παραβιάσεις

Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτεί ένας χρήστης από τέτοιου είδους επιθέσεις είναι η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης σε όλους τους λογαριασμούς. Όσο πιο δύσκολος είναι ένας κωδικός, τόσο πιο δύσκολο είναι για τον επιτιθέμενο να το μαντέψει. Χρησιμοποιήστε ένα συνδυασμό γραμμάτων, αριθμών και συμβόλων. Επιπλέον, επιλέξτε διαφορετικούς κωδικούς για διαφορετικούς λογαριασμούς, ώστε αν παραβιαστεί ένας λογαριασμός να μην επηρεάζονται και οι υπόλοιποι.

Δείτε επίσης: Hackers εκμεταλλεύονται ευπάθεια στο Bricks Builder WordPress Theme

Επίσης, βοηθητική είναι και η χρήση ενός αξιόπιστου προγράμματος ασφαλείας. Αυτά τα προγράμματα είναι σχεδιασμένα για να αναγνωρίζουν και να απομακρύνουν τις απειλές.

Οι χρήστες πρέπει να διατηρούν τα λειτουργικά τους συστήματα και τα προγράμματα περιήγησης στο διαδίκτυο ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τους χρήστες από τις πιο πρόσφατες απειλές.

Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών είναι ζωτικής σημασίας. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με τέτοιες επιθέσεις και να είναι σε θέση να αναγνωρίζουν τα σημάδια μιας επίθεσης.

Πηγή: www.bleepingcomputer.com