Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Участники угрозы проводят атаки методом перебора против сайтов WordPress, используя вредоносные инъекции JavaScript, свидетельствуют новые данные Sucuri.
Атаки, которые принимают форму распределенных атак методом перебора, "нацелены на веб-сайты WordPress из браузеров совершенно невинных и ничего не подозревающих посетителей сайта", - сказал исследователь безопасности Денис Синегубко.
Это действие является частью ранее задокументированной волны атак, в ходе которой взломанные сайты WordPress использовались для прямого внедрения криптодрайверов, таких как Angel Drainer, или перенаправления посетителей сайта на фишинговые сайты Web3, содержащие вредоносное ПО drainer.
Последняя итерация примечательна тем фактом, что инъекции, обнаруженные на более чем 700 сайтах на сегодняшний день, не загружают антивирус, а скорее используют список распространенных и утекших паролей для взлома других сайтов WordPress.
Атака проходит в пять этапов, позволяя субъекту угрозы воспользоваться уже скомпрометированными веб-сайтами для запуска распределенных атак методом перебора против других сайтов потенциальных жертв. -
В настоящее время неизвестно, что побудило участников угрозы переключиться с криптодрайверов на распределенные атаки методом перебора, хотя считается, что изменение могло быть вызвано мотивами получения прибыли, поскольку скомпрометированные сайты WordPress можно монетизировать различными способами.
Тем не менее, слив криптовалютных кошельков привел к потерям в размере сотен миллионов цифровых активов в 2023 году, согласно данным Scam Sniffer. С тех пор поставщик решений для борьбы со скамом Web3 показал, что сливщики используют процесс нормализации в процедуре кодирования EIP-712 кошелька для обхода предупреждений системы безопасности.
Разработка происходит после того, как отчет DFIR показал, что участники угрозы используют критический недостаток плагина WordPress с именем 3DPrint Lite (CVE-2021-4436, оценка CVSS: 9,8) для развертывания веб-оболочки Godzilla для постоянного удаленного доступа.
Это также следует за новой кампанией SocGholish (она же FakeUpdates), нацеленной на веб-сайты WordPress, в которых вредоносное ПО JavaScript распространяется через модифицированные версии законных плагинов, которые устанавливаются с использованием скомпрометированных учетных данных администратора.
"Хотя было множество злонамеренно модифицированных плагинов и несколько различных кампаний по обновлению поддельных браузеров, цель, конечно, всегда одна и та же: обманом заставить ничего не подозревающих посетителей веб-сайта загрузить троянские программы удаленного доступа, которые позже будут использоваться в качестве начальной точки входа для атаки программ-вымогателей", - сказал исследователь безопасности Бен Мартин.
Атаки, которые принимают форму распределенных атак методом перебора, "нацелены на веб-сайты WordPress из браузеров совершенно невинных и ничего не подозревающих посетителей сайта", - сказал исследователь безопасности Денис Синегубко.
Это действие является частью ранее задокументированной волны атак, в ходе которой взломанные сайты WordPress использовались для прямого внедрения криптодрайверов, таких как Angel Drainer, или перенаправления посетителей сайта на фишинговые сайты Web3, содержащие вредоносное ПО drainer.
Последняя итерация примечательна тем фактом, что инъекции, обнаруженные на более чем 700 сайтах на сегодняшний день, не загружают антивирус, а скорее используют список распространенных и утекших паролей для взлома других сайтов WordPress.
Атака проходит в пять этапов, позволяя субъекту угрозы воспользоваться уже скомпрометированными веб-сайтами для запуска распределенных атак методом перебора против других сайтов потенциальных жертв. -
- Получение списка целевых сайтов WordPress
- Извлечение реальных имен пользователей авторов, размещающих публикации на этих доменах
- Внедрение вредоносного кода JavaScript на уже зараженные сайты WordPress
- Запуск распределенной атаки методом перебора на целевые сайты через браузер, когда посетители попадают на взломанные сайты
- Получение несанкционированного доступа к целевым сайтам
В настоящее время неизвестно, что побудило участников угрозы переключиться с криптодрайверов на распределенные атаки методом перебора, хотя считается, что изменение могло быть вызвано мотивами получения прибыли, поскольку скомпрометированные сайты WordPress можно монетизировать различными способами.
Тем не менее, слив криптовалютных кошельков привел к потерям в размере сотен миллионов цифровых активов в 2023 году, согласно данным Scam Sniffer. С тех пор поставщик решений для борьбы со скамом Web3 показал, что сливщики используют процесс нормализации в процедуре кодирования EIP-712 кошелька для обхода предупреждений системы безопасности.
Разработка происходит после того, как отчет DFIR показал, что участники угрозы используют критический недостаток плагина WordPress с именем 3DPrint Lite (CVE-2021-4436, оценка CVSS: 9,8) для развертывания веб-оболочки Godzilla для постоянного удаленного доступа.
Это также следует за новой кампанией SocGholish (она же FakeUpdates), нацеленной на веб-сайты WordPress, в которых вредоносное ПО JavaScript распространяется через модифицированные версии законных плагинов, которые устанавливаются с использованием скомпрометированных учетных данных администратора.
"Хотя было множество злонамеренно модифицированных плагинов и несколько различных кампаний по обновлению поддельных браузеров, цель, конечно, всегда одна и та же: обманом заставить ничего не подозревающих посетителей веб-сайта загрузить троянские программы удаленного доступа, которые позже будут использоваться в качестве начальной точки входа для атаки программ-вымогателей", - сказал исследователь безопасности Бен Мартин.
