Mais de 1.000 websites alimentados por WordPress foram infectados com um código JavaScript de terceiros que injeta quatro backdoors separados.
"Criar quatro backdoors facilita aos atacantes ter múltiplos pontos de reentrada, caso um seja detectado e removido", disse o pesquisador da c/side, Himanshu Anand, em uma análise de quarta-feira(05).
O código JavaScript malicioso foi encontrado sendo servido via cdn.csyndication[.]com.
Até o momento desta redação, até 908 websites contêm referências ao domínio em questão.
As funções dos quatro backdoors são explicadas abaixo:
- Backdoor 1, que faz o upload e instala um plugin falso chamado "Ultra SEO Processor", que é então usado para executar comandos emitidos pelo atacante;
- Backdoor 2, que injeta JavaScript malicioso em wp-config.php;
- Backdoor 3, que adiciona uma SSH key controlada pelo atacante ao arquivo ~/.ssh/authorized_keys, de modo a permitir acesso remoto persistente à máquina;
- Backdoor 4, que é projetado para executar comandos remotos e busca outro payload de gsocket[.]io para possivelmente abrir um reverse shell;
Para mitigar o risco representado pelos ataques, é aconselhado que os usuários excluam SSH keys não autorizadas, girem as credenciais de admin do WordPress e monitorem os logs do sistema para atividades suspeitas.
O desenvolvimento vem como a empresa de cibersegurança detalhou outra campanha de malware que comprometeu mais de 35.000 websites com JavaScript malicioso que "sequestra completamente a janela do navegador do usuário" para redirecionar os visitantes do site para plataformas de apostas em língua chinesa.
"O ataque parece estar visando ou originando de regiões onde o mandarim é comum, e as páginas de destino finais apresentam conteúdo de apostas sob a marca 'Kaiyun'.
As redireções ocorrem por meio de JavaScript hospedado em cinco domínios diferentes, que funciona como um carregador para o payload principal responsável por realizar os redirecionamentos:
mlbetjs[.]com
ptfafajs[.]com
zuizhongjs[.]com
jbwzzzjs[.]com
jpbkte[.]com
As descobertas também seguem um novo relatório da Group-IB sobre um ator de ameaça apelidado de ScreamedJungle que injeta um código JavaScript chamado Bablosoft JS em websites Magento comprometidos para coletar impressões digitais de usuários que visitam.
Mais de 115 sites de e-commerce acreditam-se estar impactados até a data.
O script injetado é "parte do conjunto Bablosoft BrowserAutomationStudio (BAS)", disse a empresa sediada em Singapura, acrescentando que "contém várias outras funções para coletar informações sobre o sistema e o navegador dos usuários que visitam o site comprometido".
Diz-se que os atacantes estão explorando vulnerabilidades conhecidas que afetam versões vulneráveis do Magento (por exemplo,
CVE-2024-34102
aka CosmicSting e
CVE-2024-20720
) para violar os websites.
O ator de ameaça motivado financeiramente foi descoberto pela primeira vez em maio de 2024.
"O fingerprinting de navegador é uma técnica poderosa comumente usada por websites para rastrear atividades de usuários e adaptar estratégias de marketing," disse o Group-IB.
No entanto, essas informações também são exploradas por cibercriminosos para imitar comportamento de usuário legítimo, evadir medidas de segurança e conduzir atividades fraudulentas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...