Un gruppo di hacker sta conducendo attacchi su larga scala ai siti WordPress per iniettare script che costringono i browser dei visitatori a forzare le password di altri siti. La campagna è stata individuata per la prima volta dalla società di sicurezza informatica Sucuri. I ricercatori ha monitorato un autore di minacce noto per aver violato i siti per iniettare script di drainer dei portafogli crittografici. Alla fine di febbraio, gli hacker sono passati dalle attività di wallet drainer al dirottamento dei browser dei visitatori per applicare la forza bruta ad altri siti WordPress. Per fare ciò è stato utilizzato uno script dannoso da un dominio appena registrato, ovvero "dynamic-linx[.]com/chx.js". Secondo un successivo rapporto di Sucuri, l'autore della minaccia utilizza siti WordPress compromessi per caricare script che costringono i browser dei visitatori a condurre attacchi di forza bruta per le credenziali degli account su altri siti web.
WordPress: come avviene l’attacco tramite il browser degli utenti
Sucuri ha notato che questi script fanno sì che il browser contatti silenziosamente il server degli hacker all'indirizzo “https://dynamic-linx[.]com/getTask.php”. Lo scopo è quello di ricevere un'attività di forzatura bruta della password. Questa attività si presenta sotto forma di un file JSON contenente i parametri per l'attacco di forza bruta. Questi includono l’ID, l'URL del sito, il nome dell'account, un numero delle password da esaminare e un centinaio di password da testare. Una volta ricevuta l'attività, lo script farà sì che il browser del visitatore carichi silenziosamente un file utilizzando l'interfaccia XMLRPC del sito WordPress utilizzando il nome dell'account e le password nei dati JSON. Se la password è corretta, lo script avviserà il server dell'autore della minaccia che è stata trovata una password per il sito. L'hacker può quindi connettersi al sito per recuperare il file caricato contenente la coppia nome utente e password codificati base64.
Finché la pagina rimane aperta, lo script dannoso farà sì che il browser web si ricolleghi al server dell'aggressore e recuperi nuove attività da eseguire. Secondo il motore di ricerca del codice sorgente HTML PublicHTML, attualmente ci sono oltre 1.700 siti hackerati con questi script o i loro payload. Ciò fornisce un enorme bacino di utenti che verranno involontariamente arruolati in questo esercito distribuito di forza bruta. Il ricercatore di CronUp, Germán Fernández, ha scoperto che il sito web dell'Associazione delle banche private dell'Ecuador è stato compromesso in questa campagna, infettando ignari visitatori. Non è chiaro il motivo per cui gli autori delle minacce siano passati dall’iniezione di drainer di cryptowallet alla forzatura bruta di altri siti. Tuttavia, Sucuri ritiene gli hacker desiderano servirsi di molti più siti per cui lanciare ulteriori attacchi su scala più ampia, come gli attacchi di crypto-draining.