Sucuri'nin yeni bulguları, tehdit aktörlerinin kötü amaçlı JavaScript enjeksiyonlarından yararlanarak WordPress sitelerine kaba kuvvet saldırıları gerçekleştirdiğini ortaya koyuyor.
Güvenlik araştırmacısı Denis Sinegubko, dağıtılmış kaba kuvvet saldırıları şeklini alan saldırıların “tamamen masum ve şüphelenmeyen site ziyaretçilerinin tarayıcılarından WordPress web sitelerini hedef aldığını” söyledi.
Etkinlik, güvenliği ihlal edilmiş WordPress sitelerinin Angel Drainer gibi kripto filtrelerini doğrudan enjekte etmek veya site ziyaretçilerini drenaj kötü amaçlı yazılım içeren Web3 kimlik avı sitelerine yönlendirmek için kullanıldığı, daha önce belgelenen bir saldırı dalgasının bir parçasıdır.
En son yineleme, bugüne kadar 700'den fazla sitede bulunan enjeksiyonların bir filtre yüklememesi, bunun yerine diğer WordPress sitelerine kaba kuvvet uygulamak için yaygın ve sızdırılmış şifrelerin bir listesini kullanması nedeniyle dikkate değerdir.
Saldırı beş aşamadan oluşuyor ve bir tehdit aktörünün halihazırda güvenliği ihlal edilmiş web sitelerinden yararlanarak diğer potansiyel kurban sitelere dağıtılmış kaba kuvvet saldırıları başlatmasına olanak tanıyor.
- Hedef WordPress sitelerinin bir listesini alma
- Bu alanlarda paylaşım yapan yazarların gerçek kullanıcı adlarının çıkarılması
- Kötü amaçlı JavaScript kodunu zaten virüs bulaşmış WordPress sitelerine enjekte edin
- Ziyaretçiler saldırıya uğramış sitelere geldiğinde tarayıcı aracılığıyla hedef sitelere dağıtılmış kaba kuvvet saldırısı başlatmak
- Hedef sitelere yetkisiz erişim elde etmek
Sinegubko, “Listedeki her şifre için, ziyaretçinin tarayıcısı, bu özel isteğin kimliğini doğrulamak için kullanılan şifrelenmiş kimlik bilgilerine sahip bir dosyayı yüklemek üzere wp.uploadFile XML-RPC API isteğini gönderir.” diye açıkladı. “Kimlik doğrulama başarılı olursa, WordPress yükleme dizininde geçerli kimlik bilgilerine sahip küçük bir metin dosyası oluşturulur.”
Tehdit aktörlerinin kripto zararlılarından dağıtılmış kaba kuvvet saldırısına geçiş yapmasına neyin sebep olduğu şu anda bilinmiyor; ancak ele geçirilen WordPress sitelerinden çeşitli yollarla para kazanılabileceği için bu değişikliğin kâr amacından kaynaklanmış olabileceğine inanılıyor.
Bununla birlikte, Scam Sniffer'ın verilerine göre, kripto cüzdanı tüketenlerin 2023 yılında dijital varlıklarda yüz milyonlarca dolarlık kayba yol açtığı belirtiliyor. Web3 dolandırıcılık karşıtı çözüm sağlayıcısı, o zamandan beri, zararlıların güvenlik uyarılarını atlamak için cüzdanın EIP-712 kodlama prosedüründeki normalleştirme sürecinden yararlandığını ortaya çıkardı.
Bu gelişme, DFIR raporunun, tehdit aktörlerinin kalıcı uzaktan erişim için Godzilla web kabuğunu dağıtmak amacıyla 3DPrint Lite (CVE-2021-4436, CVSS puanı: 9,8) adlı WordPress eklentisindeki kritik bir kusurdan yararlandığını ortaya koymasının ardından geldi.
Bu aynı zamanda, JavaScript kötü amaçlı yazılımının, tehlikeye atılmış yönetici kimlik bilgilerinden yararlanılarak yüklenen meşru eklentilerin değiştirilmiş sürümleri aracılığıyla dağıtıldığı WordPress web sitelerini hedef alan yeni bir SocGholish (diğer adıyla FakeUpdates) kampanyasını da takip ediyor.
“Kötü amaçla değiştirilmiş çeşitli eklentiler ve birkaç farklı sahte tarayıcı güncelleme kampanyası olmasına rağmen, elbette amaç her zaman aynıdır: Şüphelenmeyen web sitesi ziyaretçilerini, daha sonra ilk giriş noktası olarak kullanılacak uzaktan erişim truva atlarını indirmeleri için kandırmak. güvenlik araştırmacısı Ben Martin, “bir fidye yazılımı saldırısı için” dedi.