Браузеры-зомби: ваш любимый сайт на WordPress стал подручным криптозлодеев

В последнее время киберпреступники усилили атаки на сайты на базе WordPress, используя хитроумный метод заражения. Компания Sucuri , специализирующаяся на безопасности веб-сайтов, обнаружила новую кампанию, нацеленную на инъекцию скриптов и распределенный перебор паролей.

Ранее злоумышленники подобным способом заражал сайты программами, взламывающими криптовалютные счета. Посетителя убеждали подключить к сайту свой кошелек, после чего происходило моментальное изъятие всех активов.

Скомпрометированные сайты WordPress использовались для внедрения криптовалютных дрейнеров, таких как Angel Drainer, либо для перенаправления посетителей на фишинговые сайты Web3, также содержащие дрейнеры.

Однако с конца февраля хакеры сменили тактику: теперь их ПО принуждает браузер проводить брутфорс-атаки (Bruteforce, атаки грубой силой) на платформах WordPress. Этот процесс осуществляется через вредоносный скрипт с нового домена «dynamic-linx[.]com/chx.js».

Скрипты составляют массовую «армию» для подбора паролей, работающую в автоматическом режиме. После заражения ресурса WordPress, код встраивается в его HTML-шаблоны. При посещении таких страниц браузер загружает программу, которая затем тихо связывается с командным сервером, получая новую команду.

Задание содержит параметры для атаки: ID, URL веб-сайта, имя учетной записи, номер текущей партии паролей для проверки и сотню паролей для подбора. В случае успеха скрипт информирует об этом операторов.

По словам исследователи Дениса Синегубко, на каждую комбинацию из списка паролей браузер посетителя делает запрос к API wp.uploadFile XML-RPC, пытаясь загрузить файл и авторизоваться с этими учетными данными. Если аутентификация проходит успешно, в директории загрузок WordPress оказывается текстовый файл с действующими логином и паролем

Атака развивается в пять этапов, позволяя злоумышленникам использовать уже скомпрометированные веб-ресурсы для запуска распределенных атак против других потенциальных жертв:

1. Сбор списка целевых сайтов WordPress

2. Извлечение реальных имен авторов, публикующих контент на этих доменах

3. Внедрение вредоносного JavaScript-кода на зараженные сайты

4. Запуск распределенной атаки грубой силы через браузеры посетителей взломанных сайтов

5. Получение несанкционированного доступа к атакованным сайтам
   

Согласно публикациям Sucuri, уже более 1700 сайтов были заражены данными скриптами, что делает масштабы кампании поистине внушительными. Интересный факт: среди зараженных ресурсов оказался и портал Ассоциации частных банков Эквадора.

Эксперты утверждают, что стратегический переход киберпреступников с воровства криптовалют на брутфорс-атаки имеет целью расширение их влияния. То есть преступники хотят увеличить количество зараженных сайтов, что, вероятно, позволит им в будущем снова нацелиться на криптоактивы. По мнению аналитиков Sucuri, предыдущие методы были отвергнуты из-за их низкой эффективности и легкости обнаружения.

Возможно, изменение тактики было продиктовано стремлением к большей прибыли, поскольку скомпрометированные сайты WordPress открывают различные пути монетизации.

Учитывая, что криптовалютные дрейнеры привели к потерям на сотни миллионов долларов только в 2023 году, брутфорс представляется более привлекательным методом для киберпреступников.