Hacker führen großangelegte Angriffe auf WordPress-Websites durch, um Skripte zu injizieren, die die Browser der Besucher dazu bringen, Passwörter für andere Websites zu bruteforcen.
Die Kampagne wurde erstmals von der Website-Cybersicherheitsfirma Sucuri entdeckt, die einen Bedrohungsakteur verfolgt, der dafür bekannt ist, Seiten zu hacken, um Krypto-Wallet-Drainer-Skripte einzufügen.
Krypto-Wallet-Drainer sind bösartige Skripte, die sämtliche Kryptowährungen und Vermögenswerte stehlen, sobald jemand seine Wallet mit der Seite verbindet. Besucher dieser kompromittierten Seiten werden durch irreführende Nachrichten dazu verleitet, ihre Wallets mit der Seite zu verbinden. Sobald sie dies tun, stehlen die Skripte alle enthaltenen Vermögenswerte.
Diese Skripte sind im letzten Jahr sehr häufig geworden, wobei Bedrohungsakteure gefälschte Web3-Seiten mit Wallet-Drainern erstellen. Anschließend hacken sie X-Konten, erstellen YouTube-Videos oder schalten Google- und X-Werbungen, um die Seiten zu bewerben und die Kryptowährung der Besucher zu stehlen.
Sucuri-Forscher berichteten, dass die Bedrohungsakteure kompromittierte WordPress-Seiten hackten, um den AngelDrainer-Wallet-Drainer in mehreren Wellen von mehreren URLs einzufügen, zuletzt von ‚dynamiclink[.]lol/cachingjs/turboturbo.js‘.
Ende Februar wechselte der Bedrohungsakteur vom Wallet-Draining zum Entführen von Besucherbrowsern, um andere WordPress-Seiten zu bruteforcen, mit einem bösartigen Skript von einer neu registrierten Domain ‚dynamic-linx[.]com/chx.js‘.
Laut einem neuen Bericht von Sucuri verwendet der Bedrohungsakteur kompromittierte WordPress-Seiten, um Skripte zu laden, die die Browser der Besucher dazu zwingen, Bruteforce-Angriffe auf andere Websites durchzuführen.
Bruteforce-Angriffe bestehen darin, dass ein Bedrohungsakteur versucht, sich mit verschiedenen Passwörtern bei einem Konto anzumelden, um das richtige zu erraten. Mit den Anmeldedaten kann der Bedrohungsakteur Daten stehlen, bösartige Skripte injizieren oder Dateien auf der Seite verschlüsseln.
Teil dieser Kampagne ist es, dass die Bedrohungsakteure eine WordPress-Seite kompromittieren, um bösartigen Code in die HTML-Vorlagen zu injizieren. Wenn Besucher die Website aufrufen, werden die Skripte von https://dynamic-linx[.]com/chx.js in ihrem Browser geladen.
Diese Skripte veranlassen den Browser, sich stillschweigend mit dem Server des Bedrohungsakteurs unter ‚https://dynamic-linx[.]com/getTask.php‘ zu verbinden, um eine Bruteforce-Aufgabe zu erhalten. Diese Aufgabe wird in Form einer JSON-Datei mit den Parametern für den Bruteforce-Angriff übermittelt: eine ID, die URL der Website, der Kontoname, eine Zahl, die den aktuellen Batch von Passwörtern angibt, die durchlaufen werden sollen, und hundert Passwörter zum Ausprobieren.
Sobald die Aufgabe erhalten ist, veranlasst das Skript den Browser des Besuchers, stillschweigend eine Datei über die XMLRPC-Schnittstelle der WordPress-Seite hochzuladen, wobei der Kontoname und die Passwörter aus den JSON-Daten verwendet werden.
Wenn ein Passwort korrekt ist, informiert das Skript den Server des Bedrohungsakteurs, dass ein Passwort für die Seite gefunden wurde. Der Hacker kann sich dann mit der Seite verbinden, um die hochgeladene Datei mit dem basis64-kodierten Benutzernamen und Passwortpaar abzurufen. Solange die Seite geöffnet bleibt, veranlasst das bösartige Skript den Webbrowser, sich wiederholt mit dem Server des Angreifers zu verbinden und eine neue Aufgabe abzurufen.
Laut der HTML-Quellcodesuchmaschine PublicHTML sind
derzeit über 1.700 Websites mit diesen Skripten oder ihren Ladeprogrammen gehackt worden. Dies stellt einen enormen Pool an Nutzern dar, die unwissentlich in diese verteilte Bruteforce-Armee eingezogen werden.
Der Forscher Germán Fernández von CronUp fand heraus, dass die Website der Assoziation der Privatbanken Ecuadors in dieser Kampagne kompromittiert wurde, was sie zu einem Tummelplatz für ahnungslose Besucher macht.
Es ist unklar, warum die Bedrohungsakteure von der Injektion von Wallet-Drainern zum Bruteforcen anderer Websites gewechselt haben. Sucuri vermutet jedoch, dass es darum geht, ein umfangreicheres Portfolio an kompromittierten Websites zu erstellen, von denen aus weitere Angriffe in größerem Maßstab, wie zum Beispiel Krypto-Draining-Angriffe, gestartet werden können.
„Vermutlich haben sie erkannt, dass die Krypto-Drainer bei ihrer Infektionsrate (etwa 1000 kompromittierte Sites) noch nicht sehr profitabel sind“, schließt Sucuri-Forscher Denis Sinegubko. „Darüber hinaus ziehen sie zu viel Aufmerksamkeit auf sich und ihre Domains werden ziemlich schnell gesperrt. Daher scheint es sinnvoll, die Schadsoftware durch etwas Heimlicheres zu ersetzen, das gleichzeitig helfen kann, ihr Portfolio an kompromittierten Sites für zukünftige Infektionswellen zu erhöhen, die sie auf die eine oder andere Weise monetarisieren können.“