Các tác nhân đe dọa đang tiến hành các cuộc tấn công brute-force chống lại các trang web WordPress bằng cách tận dụng các mũi tiêm JavaScript độc hại, những phát hiện mới từ Sucuri tiết lộ.
Các cuộc tấn công, dưới hình thức các cuộc tấn công brute-force phân tán, "nhắm mục tiêu các trang web WordPress từ trình duyệt của khách truy cập trang web hoàn toàn vô tội và không nghi ngờ", nhà nghiên cứu bảo mật Denis Sinegubko cho biết.
Hoạt động này là một phần của làn sóng tấn công được ghi nhận trước đó, trong đó các trang web WordPress bị xâm nhập đã được sử dụng để tiêm trực tiếp các trình thoát nước tiền điện tử như Angel Drainer hoặc chuyển hướng khách truy cập trang web đến các trang web lừa đảo Web3 có chứa phần mềm độc hại thoát nước.
Lần lặp lại mới nhất đáng chú ý vì thực tế là các mũi tiêm - được tìm thấy trên hơn 700 trang web cho đến nay - không tải trình thoát nước mà sử dụng danh sách các mật khẩu phổ biến và bị rò rỉ để brute-force các trang web WordPress khác.
Cuộc tấn công diễn ra qua năm giai đoạn, cho phép tác nhân đe dọa tận dụng các trang web đã bị xâm nhập để khởi động các cuộc tấn công vũ phu phân tán chống lại các trang web nạn nhân tiềm năng khác -
- Lấy danh sách các trang web WordPress mục tiêu
- Trích xuất tên người dùng thực của các tác giả đăng trên các tên miền đó
- Tiêm mã JavaScript độc hại vào các trang web WordPress đã bị nhiễm
- Khởi động một cuộc tấn công brute-force phân tán vào các trang web mục tiêu thông qua trình duyệt khi khách truy cập vào các trang web bị tấn công
- Truy cập trái phép vào các trang web mục tiêu
"Đối với mỗi mật khẩu trong danh sách, trình duyệt của khách truy cập sẽ gửi yêu cầu API WP.UPLOADFile XML-RPC để tải lên một tệp có thông tin đăng nhập được mã hóa được sử dụng để xác thực yêu cầu cụ thể này", Sinegubko giải thích. "Nếu xác thực thành công, một tệp văn bản nhỏ với thông tin đăng nhập hợp lệ sẽ được tạo trong thư mục tải lên WordPress."
Hiện tại vẫn chưa biết điều gì đã thúc đẩy các tác nhân đe dọa chuyển từ các công cụ thoát nước tiền điện tử sang tấn công vũ phu phân tán, mặc dù người ta tin rằng sự thay đổi có thể được thúc đẩy bởi động cơ lợi nhuận, vì các trang web WordPress bị xâm nhập có thể được kiếm tiền theo nhiều cách khác nhau.
Điều đó nói rằng, những người rút ví tiền điện tử đã dẫn đến thiệt hại lên tới hàng trăm triệu tài sản kỹ thuật số vào năm 2023, theo dữ liệu từ Scam Sniffer. Nhà cung cấp giải pháp chống lừa đảo Web3 kể từ đó đã tiết lộ rằng những người thoát nước đang khai thác quá trình bình thường hóa trong quy trình mã hóa EIP-712 của ví để vượt qua các cảnh báo bảo mật.
Sự phát triển này diễn ra khi báo cáo DFIR tiết lộ rằng các tác nhân đe dọa đang khai thác một lỗ hổng nghiêm trọng trong một plugin WordPress có tên 3DPrint Lite (CVE-2021-4436, điểm CVSS: 9.8) để triển khai trình bao web Godzilla để truy cập từ xa liên tục.
Nó cũng theo sau một chiến dịch SocGholish mới (hay còn gọi là FakeUpdates) nhắm mục tiêu các trang web WordPress, trong đó phần mềm độc hại JavaScript được phân phối thông qua các phiên bản sửa đổi của các plugin hợp pháp được cài đặt bằng cách tận dụng thông tin đăng nhập quản trị viên bị xâm phạm.
"Mặc dù đã có một loạt các plugin được sửa đổi độc hại và một số chiến dịch cập nhật trình duyệt giả mạo khác nhau, mục tiêu tất nhiên luôn giống nhau: Để lừa khách truy cập trang web không nghi ngờ tải xuống trojan truy cập từ xa mà sau này sẽ được sử dụng làm điểm xâm nhập ban đầu cho một cuộc tấn công ransomware", nhà nghiên cứu bảo mật Ben Martin nói.