Хакеры начали проводить широкомасштабные атаки против сайтов, работающих на WordPress, внедряя туда скрипты, которые заставляют пользовательские браузеры самостоятельно подбирать пароли для других веб-ресурсов. Соответствующее заявление сделали эксперты по информационной безопасности компании Sucuri, которые отслеживают действия хакерской группы, проводящей такие атаки, о чём накануне сообщило издание Bleeping Computer.
Согласно новому отчёту Sucuri, злоумышленники используют скомпрометированные сайты WordPress для загрузки скриптов, которые заставляют браузеры посетителей проводить брутфорс-атаки для получения учётных данных на других веб-сайтах. Атака методом перебора — это когда злоумышленник пытается войти в учётную запись, используя разные пароли, чтобы угадать правильный. Используя учётные данные, злоумышленник может украсть данные, внедрить вредоносные сценарии или зашифровать файлы на сайте.
В рамках этой хакерской кампании злоумышленники взламывают сайты WordPress и внедряют вредоносный код в HTML-шаблоны. Когда посетители заходят на веб-сайт, сценарии загружаются в их браузер с «https://dynamic-linx[.]com/chx.js».
Эти сценарии заставят браузер незаметно связаться с сервером злоумышленников по адресу «https://dynamic-linx[.]com/getTask.php» для получения задачи по подбору пароля. Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учётной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать. Как только задача будет получена, скрипт заставит браузер посетителя незаметно загрузить файл с помощью интерфейса XMLRPC сайта WordPress, используя имя учётной записи и пароли в данных JSON.
Если пароль верен, сценарий уведомит сервер злоумышленника о том, что для сайта найден пароль. Затем хакер может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64. Пока страница остаётся открытой, вредоносный сценарий заставит веб-браузер неоднократно подключаться к серверу злоумышленника и получать новую задачу для выполнения.
Оригинал публикации на сайте CISOCLUB: "Взломанные сайты WordPress используют браузеры пользователей для взлома других ресурсов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.