Hackers estão realizando ataques em larga escala em sites WordPress para injetar scripts que forçam os navegadores dos visitantes a forçar a entrada de senhas para outros sites.
A campanha foi identificada pela primeira vez pela empresa Sucuri, especializada em segurança cibernética de sites, que tem monitorado um agente de ameaça conhecido por violar sites para injetar scripts de drenagem de carteira de cripto.
Crypto wallet drainers são scripts maliciosos que roubam todas as criptomoedas e ativos quando alguém conecta sua carteira.
Quando as pessoas visitam esses sites comprometidos, os scripts exibem mensagens enganosas para convencer os usuários a conectar suas carteiras ao site.
No entanto, uma vez que eles fazem isso, os scripts roubam todos os ativos contidos.
Esses scripts se tornaram muito comuns no último ano, com agentes de ameaça criando sites Web3 falsos com drenadores de carteira.
Eles então hackeiam contas X, criam vídeos no YouTube ou tiram anúncios do Google e X para promover os sites e roubar a criptomoeda do visitante.
Os pesquisadores da Sucuri relataram que os agentes de ameaça estavam violando sites WordPress comprometidos para injetar o AngelDrainer, um drenador de carteira em várias ondas de vários URLs, sendo o último 'dynamiclink[.]lol/cachingjs/turboturbo.js.'
No final de fevereiro, os agentes de ameaça mudaram de drenagem de carteira para sequestrar navegadores de visitantes para forçar a entrada em outros sites WordPress.
usando um script malicioso de um domínio recém-registrado 'dynamic-linx[.]com/chx.js'.
De acordo com um novo relatório da Sucuri, o agente de ameaça está usando sites WordPress comprometidos para carregar scripts que forçam os navegadores dos visitantes a realizar ataques de forçar a entrada para credenciais de conta em outros sites.
Um ataque de força bruta é quando um agente de ameaça tenta fazer login em uma conta usando diferentes senhas para adivinhar a correta.
Com as credenciais, o ator da ameaça pode roubar dados, injetar scripts maliciosos ou criptografar arquivos no site.
Como parte desta campanha de hacking, os agentes de ameaça comprometem um site WordPress para injetar código malicioso nos modelos HTML.
Quando os visitantes acessam o site, os scripts são carregados em seus navegadores a partir de https://dynamic-linx[.]com/chx.js.
Esses scripts farão com que o navegador entre em contato silenciosamente com o servidor do agente de ameaça em “https://dynamic-linx[.]com/getTask.php” para receber uma tarefa de forçar a entrada de senha.
Esta tarefa vem na forma de um arquivo JSON contendo os parâmetros para o ataque de força bruta: um ID, a URL do site, nome da conta, um número denotando o lote atual de senhas a serem analisadas e cem senhas para tentar.
Uma vez recebida a tarefa, o script fará com que o navegador do visitante faça o upload silencioso de um arquivo usando a interface XMLRPC do site WordPress usando o nome da conta e as senhas nos dados JSON.
Se uma senha for correta, o script notificará o servidor do agente de ameaça que uma senha foi encontrada para o site.
O hacker pode então se conectar ao site para recuperar o arquivo carregado contendo o par de nome de usuário e senha codificado em base64.
Enquanto a página permanecer aberta, o script malicioso fará com que o navegador da web se conecte repetidamente ao servidor do invasor e recupere uma nova tarefa para executar.
De acordo com o motor de busca de códigos-fonte HTML PublicHTML, atualmente existem mais de 1.700 sites hackeados com esses scripts ou seus carregadores, proporcionando uma grande quantidade de usuários que serão inscritos sem saber nesta distribuição de força bruta.
O pesquisador da CronUp, Germán Fernández, descobriu que o site da Associação de Bancos Privados do Equador foi comprometido nesta campanha, atuando como um ponto de coleta para visitantes desavisados.
Não está claro por que os agentes de ameaça mudaram de injetar drenadores de carteira de cripto para forçar a entrada em outros sites.
No entanto, a Sucuri acredita ser para construir um portfólio mais extenso de sites a partir dos quais lançar ataques em maior escala, como ataques de drenagem de cripto.
“Provavelmente, eles perceberam que, em sua escala de infecção (~ 1000 sites comprometidos), os drenadores de cripto não são muito lucrativos ainda”, concluiu o pesquisador da Sucuri, Denis Sinegubko.
“Além disso, eles chamam muita atenção e seus domínios são bloqueados muito rapidamente.
Portanto, parece razoável alterar a payload com algo mais furtivo, que ao mesmo tempo possa ajudar a aumentar seu portfólio de sites comprometidos para futuras ondas de infecções que eles serão capazes de monetizar de uma forma ou de outra.”
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...