Los expertos en seguridad han descubierto que los actores de amenazas están implementando ataques de fuerza bruta distribuidos contra sitios de WordPress. Estos ataques utilizan inyecciones maliciosas de JavaScript para apuntar a sitios web de WordPress desde los navegadores de visitantes de sitios inocentes. La última iteración de estos ataques involucra el uso de una lista de contraseñas comunes y filtradas para intentar fuerza bruta en otros sitios de WordPress, y se encontró en más de 700 sitios hasta la fecha.
Estos ataques forman parte de una ola de ataques previamente documentada en la que los sitios de WordPress comprometidos se utilizaron para inyectar criptodrenadores como Angel Drainer directamente o redirigir a los visitantes del sitio a sitios de phishing de Web3 que contenían malware de drenado. Se cree que el cambio a los ataques de fuerza bruta distribuida puede haber sido impulsado por motivos de lucro, ya que los sitios de WordPress comprometidos pueden ser monetizados de varias maneras.
Los expertos en seguridad han identificado cinco etapas en el desarrollo de este tipo de ataques. Primero, los actores de amenaza obtienen una lista de sitios de WordPress objetivo. Luego, extraen nombres de usuario reales de autores que publican en esos dominios. Posteriormente, inyectan código malicioso JavaScript en sitios de WordPress ya infectados y lanzan un ataque de fuerza bruta distribuido en los sitios objetivo a través del navegador cuando los visitantes llegan a los sitios pirateados. Finalmente, obtienen acceso no autorizado a los sitios objetivo.
Es importante tener en cuenta que los criptodrenadores también representan una amenaza significativa. Según Scam Sniffer, los criptodrenadores han llevado a pérdidas que ascienden a cientos de millones de activos digitales en 2023. El descubrimiento de este tipo de ataques se produce después de que se revelara que los actores de amenaza están explotando una falla crítica en un plugin de WordPress llamado 3DPrint Lite para implementar la shell web Godzilla para el acceso remoto persistente. También sigue a una nueva campaña de SocGholish que apunta a sitios web de WordPress en la que se distribuye el malware JavaScript a través de versiones modificadas de plugins legítimos que se instalan aprovechando credenciales de administrador comprometidas.
Vía The Hacker News
