Quase 2.000 sites WordPress hackeados agora exibem pop-ups falsos de NFT e descontos para enganar visitantes a conectar suas carteiras a crypto drainers que automaticamente roubam fundos.
A empresa de segurança de websites Sucuri divulgou no mês passado que hackers haviam comprometido aproximadamente 1.000 sites WordPress para promover crypto drainers, que eles divulgavam por meio de malvertising e vídeos no YouTube.
Acredita-se que os atores de ameaças não tiveram sucesso com sua campanha original e começaram a implantar novos scripts nos sites comprometidos para transformar os navegadores da web dos visitantes em ferramentas para o brute-forcing das senhas de admin de outros sites.
Esses ataques envolveram um conjunto de aproximadamente 1.700 sites de brute-forcing, incluindo exemplos proeminentes como o site da Associação de Bancos Privados do Equador.
O objetivo era construir um pool grande o suficiente de sites que eles eventualmente poderiam monetizar em uma campanha mais extensa.
De acordo com o pesquisador de cibersegurança MalwareHunterTeam, os atores de ameaças agora começaram a monetizar o pool de sites para exibir pop-ups promovendo ofertas falsas de NFT e descontos em cripto.
Embora seja desconhecido quantos sites comprometidos estão atualmente exibindo esses crypto drainers, uma busca na Urlscan mostra que mais de 2.000 sites comprometidos estiveram carregando os scripts maliciosos durante os últimos sete dias.
Nem todos estão gerando os golpes de pop-up cripto neste momento, mas isso pode mudar a qualquer momento.
Os scripts maliciosos são carregados do domínio dynamic-linx[.]com, que é a mesma URL que a Sucuri viu no mês passado.
Esse script verifica a existência de um cookie específico ("haw") e, se ele não existir, injeta scripts maliciosos na página da web, conforme mostrado abaixo.
O código malicioso exibe aleatoriamente um pop-up promocional, instigando as vítimas a conectar suas carteiras para cunhar um NFT promissor ou para receber um desconto no site.
O BleepingComputer testou vários sites hospedando esses scripts, e, embora inicialmente houvesse alguns problemas com os pop-ups não tentando conectar a carteiras, eles eventualmente voltaram a funcionar.
Quando você clica no botão de conectar, os scripts inicialmente mostram suporte nativo para as carteiras MetaMask, Safe Wallet, Coinbase, Ledger e Trust Wallet.
No entanto, eles também suportam 'WalletConnect', que suporta muitas outras carteiras, expandindo significativamente o escopo de direcionamento.
Uma vez que um visitante conecta o site agora Web3 às suas carteiras, o crypto drainer roubará todos os fundos e NFTs na conta e os enviará para os atores de ameaças.
Deve-se notar que a MetaMask exibirá um aviso ao visitar sites infectados com esses scripts maliciosos.
Crypto drainers se tornaram um problema massivo para a comunidade de criptomoedas, com atores de ameaças hackeando contas X conhecidas e criando vídeos de IA e publicidade maliciosa para promover sites que utilizam scripts maliciosos.
Para evitar perder seus ativos digitais para operadores de crypto drainers e outros cibercriminosos, conecte sua carteira apenas a plataformas confiáveis.
Independentemente da reputação estabelecida de um site, é prudente exercer cautela com janelas pop-up inesperadas, especialmente quando essas não se alinham com o assunto principal ou design de um site.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...