WordPress, campagna hacker prende di mira migliaia di siti per attacchi brute force distribuiti

Il ricercatore di sicurezza Denis Sinegubko di Sucuri ha scoperto una campagna di attacchi informatici che sta sfruttando centinaia di siti web compromessi basati su WordPress per trasformarli in veri e propri server di comando e controllo, con l'obiettivo di forzare i browser degli ignari visitatori ad eseguire attacchi di password cracking contro migliaia di altri siti WordPress.

Il ricercatore ha individuato uno script JavaScript di soli 3 kilobyte ospitato su ben 708 siti infetti: solamente due giorni prima ne aveva rilevati 500, segno di una campagna in costante crescita.

Tutto ciò ha portato, secondo le analisi di Sinegubko, a migliaia di computer di visitatori inconsapevoli di questi siti che hanno eseguito lo script, prendendo di mira migliaia di domini nel tentativo di "indovinare" le password degli account utente registrati su di essi. Trattandosi di richieste provenienti da browser di visitatori reali diventa particolarmente complesso riuscire a filtrare e bloccare queste richieste.

Lo schema di funzionamento dell'attacco è concettualmente semplice: lo script contatta un URL controllato dagli aggressori, che fornisce il nome utente di un account specifico su un sito WordPress di destinazione, insieme a 100 password comuni da provare. A questo punto il browser della vittima inconsapevole prova ad accedere all'account usando le credenziali fornite dallo script e riporta i risultati ad un altro URL controllato anch'esso dagli aggressori. Questa operazione si ripete in maniera ciclica.

Il ricercatore ha determinato che, alla data di pubblicazione del suo resoconto lo scorso martedì,  gli aggressori stanno provando un totale di oltre 40 mila password contro ciascun sito preso di mira. In un periodo di osservazione di quattro giorni il ricercatore ha registrato oltre 1.200 indirizzi IP univoci che hanno tentato di scaricare file di credenziali, con cinque indirizzi che hanno rappresentato oltre l'85% delle richieste totali. Uno di questi indirizzi, 87.121.87.178, era già stato notato durante un precedente attacco di cryptojacking indicando una possibile mano comune dietro le due campagne.

Sinegubko ha rilevato "decine di migliaia di richieste" a migliaia di domini unici che verificavano la presenza di file caricati dai browser dei visitatori. Molte di queste richieste hanno restituito errore 404 ma lo 0,5% circa delle richieste ha ricevuto una risposta, indicando la possibilità che alcuni account possano essere stati effettivamente compromessi.