Sucuri的新发现显示,黑客正在利用恶意JavaScript注入对WordPress网站进行暴力攻击。
安全研究员Denis Sinegubko表示,这些攻击采用分布式暴力攻击的形式,“从完全无辜和毫无戒心的网站访问者的浏览器中瞄准目标WordPress网站”。
该活动是先前记录的攻击浪潮的一部分,其中受感染的WordPress网站被用来直接注入Angel Drainer等加密货币窃取器,或将网站访问者重定向到包含窃取器恶意软件的Web3钓鱼网站。
最新的迭代值得注意的是,迄今为止在700多个网站上发现的JS注入不会加载窃取器,而是使用常见和泄露的密码列表来暴力破解其他WordPress网站。
该攻击分为五个阶段,使威胁行为者能够利用已经被入侵的网站对其他潜在受害者网站发起分布式暴力攻击 -
- 获取目标WordPress站点列表
- 提取在这些域上发帖的作者的真实用户名
- 将恶意JavaScript代码注入已受感染的WordPress网站
- 当访问者登陆被黑网站时,通过浏览器对目标网站发起分布式暴力攻击
- 未经授权访问目标站点
“对于列表中的每个密码,访问者的浏览器都会发送wp.uploadFile XML-RPC API请求,以上传带有加密凭据的文件,这些凭据用于验证此特定请求,”Sinegubko解释道。“如果身份验证成功,则会在WordPress上传目录中创建一个具有有效凭据的小文本文件。”
目前尚不清楚是什么促使威胁行为者从加密货币窃取者转向分布式暴力攻击,尽管人们相信这种变化可能是出于利润动机,因为被入侵的WordPress网站可以通过各种方式获利。
尽管如此,根据Scam Sniffer的数据,到2023年,加密钱包流失者已导致数字资产损失达数亿美元。Web3反诈骗解决方案提供商随后透露,盗用者正在利用钱包EIP-712编码过程中的标准化过程来绕过安全警报。
DFIR报告显示,威胁行为者正在利用名为3DPrint Lite(CVE-2021-4436,CVSS评分:9.8)的WordPress插件中的一个严重漏洞来部署Godzilla Web shell进行持久远程访问。
它还发生了针对WordPress网站的新SocGholish(又名FakeUpdates)活动,其中JavaScript恶意软件通过合法插件的修改版本进行分发,这些插件是通过利用被入侵的管理员凭据安装的。
“尽管存在各种恶意修改的插件和几种不同的假浏览器更新活动,但目标始终是相同的:诱骗毫无戒心的网站访问者下载远程访问木马,这些木马随后将用作初始入口点勒索软件攻击,”安全研究员本·马丁说。