Milhares de sites WordPress sob ataque de hackers de força bruta!
O pesquisador de segurança Denis Sinegubko da Sucuri descobriu uma campanha de ataque cibernético que está explorando centenas de sites comprometidos com base em WordPress para transformá-los em servidores reais e próprios de comando e controle, com o objetivo de forçar navegadores de visitantes desavisados a realizar ataques de quebra de senha contra milhares de outros sites WordPress.
O pesquisador identificou um script JavaScript hospedado de apenas 3 kilobytes em 708 sites infectados: apenas dois dias antes ele havia detectado 500, um sinal de uma campanha em constante crescimento.
A pesquisa de Sinegubko revelou que um número significativo de usuários desatentos da Internet que visitam determinados sites executam involuntariamente scripts maliciosos, que subsequentemente têm como alvo vários nomes de domínio com a intenção de adivinhar as credenciais de login das contas de usuários associadas a esses domínios. Este processo envolve a geração de múltiplas solicitações feitas por usuários genuínos de navegadores da Web, tornando difícil distinguir entre tráfego legítimo e fraudulento, complicando assim os esforços para filtrar e obstruir tais atividades suspeitas.
um programa interage com um endereço da web controlado pelos agressores, que fornece o nome de usuário de uma conta designada em uma plataforma WordPress alvo, juntamente com cem senhas comumente usadas. Posteriormente, o navegador de internet do usuário desavisado tenta acessar a referida conta utilizando as credenciais fornecidas, transmitindo posteriormente os resultados de volta para outro site supervisionado pelos agressores através de um processo recorrente.
Com base nas conclusões apresentadas no relatório publicado na última terça-feira, parece que os cibercriminosos tentaram aceder a mais de 40.000 combinações de palavras-passe diferentes em vários sites como parte dos seus ataques. Ao longo de vários dias, um total de 1.200 endereços IP distintos foram identificados como tentativas de download de arquivos de credenciais relacionados a esses sites. Curiosamente, apenas cinco desses endereços IP representaram impressionantes 85% de todas as solicitações. Além disso, um endereço específico (87.121.87.178) já havia aparecido em conexão com uma operação separada de mineração de criptomoedas, sugerindo que pode haver alguma sobreposição entre as duas campanhas e potencialmente implicando um único indivíduo ou grupo responsável por ambas.
Sinegubko observou inúmeras solicitações provenientes de milhares de nomes de domínio distintos, que foram iniciadas por navegadores usados pelos visitantes para verificar os arquivos que haviam carregado. Lamentavelmente, a esmagadora maioria destas investigações resultou num “erro 404”. No entanto, aproximadamente 0,5% das solicitações obtiveram resposta positiva, sugerindo a possibilidade de que determinadas contas de usuários possam ter sido comprometidas.
*️⃣ Link da fonte: