Bedreigingsactoren voeren brute-force-aanvallen uit op WordPress-sites door gebruik te maken van kwaadaardige JavaScript-injecties, zo blijkt uit nieuwe bevindingen van Sucuri.
De aanvallen, die de vorm aannemen van gedistribueerde brute-force-aanvallen, “richten zich op WordPress-websites vanuit de browsers van volledig onschuldige en nietsvermoedende sitebezoekers”, aldus beveiligingsonderzoeker Denis Sinegubko.
De activiteit maakt deel uit van een eerder gedocumenteerde aanvalsgolf waarbij gecompromitteerde WordPress-sites werden gebruikt om crypto drainers zoals Angel Drainer rechtstreeks te injecteren of sitebezoekers om te leiden naar Web3 phishing-sites die drainer-malware bevatten.
De nieuwste versie valt op door het feit dat de injecties – die tot nu toe op meer dan 700 sites zijn aangetroffen – geen afdruiprek laden, maar eerder een lijst met veelvoorkomende en gelekte wachtwoorden gebruiken om andere WordPress-sites bruut te forceren.
De aanval verloopt in vijf fasen, waardoor een bedreigingsacteur kan profiteren van reeds gecompromitteerde websites om gedistribueerde brute-force-aanvallen uit te voeren op andere potentiële slachtoffersites –
- Een lijst met doel-WordPress-sites verkrijgen
- Het extraheren van echte gebruikersnamen van auteurs die op die domeinen posten
- Injecteer de kwaadaardige JavaScript-code op reeds geïnfecteerde WordPress-sites
- Het lanceren van een gedistribueerde brute-force aanval op de doelsites via de browser wanneer bezoekers op de gehackte sites terechtkomen
- Het verkrijgen van ongeautoriseerde toegang tot de doelsites
“Voor elk wachtwoord in de lijst verzendt de browser van de bezoeker het wp.uploadFile XML-RPC API-verzoek om een bestand te uploaden met gecodeerde inloggegevens die zijn gebruikt om dit specifieke verzoek te authenticeren”, legt Sinegubko uit. “Als de authenticatie slaagt, wordt er een klein tekstbestand met geldige inloggegevens aangemaakt in de WordPress-uploadmap.”
Het is momenteel niet bekend wat de bedreigingsactoren ertoe heeft aangezet om over te schakelen van crypto-drainers naar gedistribueerde brute-force-aanvallen, hoewel aangenomen wordt dat de verandering mogelijk gedreven is door winstmotieven, aangezien gecompromitteerde WordPress-sites op verschillende manieren inkomsten kunnen genereren.
Dat gezegd hebbende, hebben de leeglopers van crypto-portemonnees in 2023 geleid tot verliezen van honderden miljoenen aan digitale activa, volgens gegevens van Scam Sniffer. De aanbieder van anti-zwendeloplossingen van Web3 heeft sindsdien onthuld dat afdruipers het normalisatieproces in de EIP-712-coderingsprocedure van de portemonnee misbruiken om beveiligingswaarschuwingen te omzeilen.
De ontwikkeling komt op het moment dat uit het DFIR-rapport blijkt dat bedreigingsactoren een kritieke fout in een WordPress-plug-in genaamd 3DPrint Lite (CVE-2021-4436, CVSS-score: 9,8) misbruiken om de Godzilla-webshell in te zetten voor permanente toegang op afstand.
Het volgt ook op een nieuwe SocGholish-campagne (ook wel FakeUpdates genoemd) die zich richt op WordPress-websites waarin de JavaScript-malware wordt verspreid via aangepaste versies van legitieme plug-ins die worden geïnstalleerd door gebruik te maken van gecompromitteerde beheerdersreferenties.
“Hoewel er een verscheidenheid aan kwaadwillig aangepaste plug-ins en verschillende updatecampagnes voor nep-browsers zijn geweest, is het doel natuurlijk altijd hetzelfde: nietsvermoedende websitebezoekers ertoe verleiden trojans voor externe toegang te downloaden die later als eerste toegangspunt zullen worden gebruikt voor een ransomware-aanval’, zegt beveiligingsonderzoeker Ben Martin.
