Les pirates informatiques mènent des attaques à grande échelle sur les sites WordPress pour injecter des scripts qui forcent les navigateurs des visiteurs à forcer brutalement les mots de passe d’autres sites.
La campagne a été repérée pour la première fois par la société de cybersécurité Sucuri, qui suit un acteur de la menace connu pour avoir piraté des sites pour injecter des scripts de draineur de portefeuille cryptographique.
Les draineurs de portefeuilles cryptographiques sont des scripts malveillants qui volent toutes les crypto-monnaies et tous les actifs lorsque quelqu’un connecte son portefeuille.
Lorsque les gens visitent ces sites compromis, les scripts affichent des messages trompeurs pour convaincre les utilisateurs de connecter leur portefeuille au site. Cependant, une fois qu’ils le font, les scripts volent tous les actifs contenus.
Ces scripts sont devenus très courants au cours de la dernière année, les acteurs de la menace créant de faux sites Web3 avec des draineurs de portefeuille. Ils piratent ensuite des comptes X, créent des vidéos YouTube ou retirent des publicités Google et X pour promouvoir les sites et voler la crypto-monnaie des visiteurs.
Les chercheurs de Sucuri ont signalé que les acteurs de la menace violaient des sites WordPress compromis pour injecter l’égouttoir de portefeuille AngelDrainer en plusieurs vagues à partir de plusieurs URL, la dernière étant » dynamiclink[.] lol / mise en cache des jeux / turboturbo.j. s.’
Fin février, l’acteur de la menace est passé de la vidange du portefeuille au détournement des navigateurs des visiteurs pour brutaliser d’autres sites WordPress. utilisation d’un script malveillant à partir d’un domaine nouvellement enregistré ‘dynamic-linx [.] avec / chx.j’.
Construire une armée de bruteforce
Selon un nouveau rapport de Sucuri, l’auteur de la menace utilise des sites WordPress compromis pour charger des scripts qui forcent les navigateurs des visiteurs à mener des attaques bruteforce pour les informations d’identification de compte sur d’autres sites Web.
Une attaque brutale se produit lorsqu’un auteur de menace tente de se connecter à un compte en utilisant différents mots de passe pour deviner le bon. Avec les informations d’identification, l’auteur de la menace peut voler des données, injecter des scripts malveillants ou chiffrer des fichiers sur le site.
Dans le cadre de cette campagne de piratage, les acteurs de la menace compromettent un site WordPress pour injecter du code malveillant dans les modèles HTML. Lorsque les visiteurs accèdent au site Web, les scripts sont chargés dans leur navigateur à partir de https://dynamic-linx [.] avec / chx.j. s.
Ces scripts amèneront le navigateur à contacter discrètement le serveur des acteurs de la menace à ‘https://dynamic-linx [.] avec / getTask.php ‘ pour recevoir une tâche de bruteforcing de mot de passe.
Cette tâche se présente sous la forme d’un fichier JSON contenant les paramètres de l’attaque bruteforce: un identifiant, l’URL du site Web, le nom du compte, un numéro indiquant le lot actuel de mots de passe à parcourir et une centaine de mots de passe à essayer.
Une fois la tâche reçue, le script amènera le navigateur du visiteur à télécharger discrètement un fichier à l’aide de l’interface XMLRPC du site WordPress en utilisant le nom de compte et les mots de passe dans les données JSON.
Si un mot de passe est exact, le script informera le serveur de l’auteur de la menace qu’un mot de passe a été trouvé pour le site. Le pirate peut ensuite se connecter au site pour récupérer le fichier téléchargé contenant la paire de nom d’utilisateur et de mot de passe encodée en base64.
Tant que la page reste ouverte, le script malveillant obligera le navigateur Web à se reconnecter à plusieurs reprises au serveur de l’attaquant et à récupérer une nouvelle tâche à exécuter.
Selon le moteur de recherche de code source HTML PublicHTML, il y a actuellement plus de 1 700 sites piratés avec ces scripts ou leurs chargeurs, fournissant un bassin massif d’utilisateurs qui seront involontairement enrôlés dans cette armée de bruteforce distribuée.
Le chercheur de CronUp Germán Fernández a découvert que le site Web de l’Association équatorienne des Banques privées avait été compromis dans cette campagne, agissant comme un point d’eau pour les visiteurs sans méfiance.
On ne sait pas pourquoi les acteurs de la menace sont passés de l’injection de draineurs de portefeuilles cryptographiques à la brutalisation d’autres sites. Cependant, Sucuri pense qu’il s’agit de créer un portefeuille plus étendu de sites à partir desquels lancer d’autres attaques à plus grande échelle, telles que des attaques de drainage cryptographique.
« Très probablement, ils se sont rendu compte qu’à leur échelle d’infection (~1000 sites compromis), les draineurs cryptographiques ne sont pas encore très rentables », a conclu Denis Sinegubko, chercheur à Sucuri.
« De plus, ils attirent trop l’attention et leurs domaines sont bloqués assez rapidement. Il semble donc raisonnable de remplacer la charge utile par quelque chose de plus furtif, qui en même temps peut aider à augmenter leur portefeuille de sites compromis pour de futures vagues d’infections qu’ils pourront monétiser d’une manière ou d’une autre. »