Novo ataque WordPress de força bruta via Users’ Browsers
Migração de Site WordPress entre Hospedagens: Como Fazer de Forma Simples e Segura
22/06/2023Como fazer a criação de um site?
19/10/2024
De acordo com uma postagem recente da Sucuri, seu scanner de site detectou um ataque ativo de força bruta distribuído explorando sites WordPress para roubar senhas de outros sites.
Os invasores injetam scripts maliciosos nos sites alvo, que são executados sempre que um visitante acessa esses sites. Em seguida, os scripts atraem os usuários para que executem a ação conforme as instruções, convencendo-os a entregar seus dados.
Conforme explicado, os pesquisadores descobriram que essa tática está em uso há algum tempo, atraindo a atenção da Sucuri por injetar drenadores de carteiras criptografadas.
O pesquisador acompanhou as campanhas iniciais de malware, observando duas iterações. Mesmo desde fevereiro de 2024, eles encontraram mais de 1.200 sites infectados com malware injetado por meio do script cachingjs/turboturbo.js.
Após esta campanha, os pesquisadores observaram uma mudança no alvo dos invasores, passando da injeção de drenadores de criptografia para scripts de força bruta. Assim, quando um visitante acessa o site comprometido, o script sequestra o navegador do visitante e usa senhas de força bruta para outros sites.
Para isso, os scripts são carregados nos navegadores via https://dynamic-linx[.]com/chx.js. Assim que o navegador da vítima se conecta ao servidor do invasor, ele recebe tarefas de força bruta do servidor https://dynamic-linx[.]com/getTask.php.
Esta tarefa chega como um arquivo JSON que inclui todos os parâmetros de força bruta, como o URL do site de destino e uma lista de senhas para tentar. Após a força bruta de credenciais bem-sucedida, o navegador envia a notificação de conclusão da tarefa ao servidor do invasor, solicitando a próxima tarefa.
Os pesquisadores compartilharam uma análise técnica detalhada desta campanha em sua postagem. Como o ataque acontece de forma sorrateira, fica difícil para os usuários vítimas protegerem suas senhas.
No entanto, como sugeriram os pesquisadores, os usuários ainda podem evitar a ameaça configurando senhas fortes para suas contas. Da mesma forma, os administradores do WordPress podem restringir a interface de login de seus sites apenas a IPs confiáveis.
