Эксперты предупреждают, что киберпреступники используют скомпрометированные веб-сайты WordPress для создания огромной армии атак с подтасовкой учетных данных.
В отчете исследователей кибербезопасности Сукури обнаружил кампанию и полагает, что они знают, какова ее цель, а именно: поиск уязвимых веб-сайтов в конструкторе веб-сайтов, где они могут установить небольшой скрипт в шаблоны HTML. Этот скрипт заставляет компьютер посетителя веб-сайта посетить другой веб-сайт WordPress (в фоновом режиме, без ведома жертвы) и попытаться войти в систему, используя другие комбинации имени пользователя и пароля.
Как только жертва взломает код входа, сама того не зная, она передает эту информацию злоумышленникам и получает дальнейшие инструкции (еще один сайт для взлома).
Строительство базы
Ссылаясь на информацию поисковой системы исходного кода HTML PublicHTML, ПипКомпьютер сообщил, что в настоящее время существует более 1700 веб-сайтов, размещающих этот скрипт, «представляющих огромный пул пользователей, которые невольно втягиваются в эту распределенную армию грубой силы». .
Сукури утверждает, что отслеживал этого злоумышленника в прошлом. Ранее группа использовала ту же технику с другой целью — для установки вредоносного ПО AngelDrainer. AngelDrainer — это фрагмент кода, который, как следует из названия, «перекачивает» любые средства, которые жертва может иметь в своих криптовалютных кошельках. Для этого жертва должна подключить свой кошелек (например, кошелек MetaMask) к криптосервису. Группа даже создала свои собственные фальшивые веб-сайты Web3, чтобы обманом заставить людей подключить свои кошельки.
Исследователи не уверены, почему группа решила прибегнуть к подбросу учетных данных. Одно из объяснений заключается в том, что они создают большую базу скомпрометированных веб-сайтов, которые затем можно использовать для более разрушительных атак, таких как кампании по опустошению кошельков.
«Скорее всего, они поняли, что крипто-сливщики пока не очень прибыльны, учитывая их масштаб заражения (около 1000 взломанных сайтов)», — заключил Сукури.
«Они также привлекают слишком много внимания, и их домены довольно быстро блокируются. Поэтому кажется разумным поменять полезную нагрузку на что-то более скрытное, что в то же время может помочь увеличить их портфель уязвимых сайтов для будущих волн заражений, на которых они так или иначе смогут заработать».
Больше от TechRadar Pro
