Os cibercriminosos estão mirando em sites desatualizados do WordPress para exibir anúncios de phishing

Os cibercriminosos começaram a atacar Sites WordPress executando versões mais antigas do mais popular do mundo CMS para usá-los para executar anúncios de phishing maliciosos.

Pesquisadores de segurança da Notícias cibernéticas descobriu pela primeira vez sobre esse novo método de ataque em dezembro do ano passado durante uma operação de varredura de rotina. No entanto, suas descobertas levaram à descoberta de um esquema ilegal de ganhar dinheiro que foi usado para comprometer centenas de sites que executam versões desatualizadas do WordPress ou não têm Plugins de segurança do WordPress instalado.

Para conseguir isso, os cibercriminosos responsáveis ​​primeiro invadiram os sites vulneráveis ​​usando exploits ou ataques de preenchimento de credenciais. Ao injetar um script PHP nas instalações do WordPress dos sites direcionados, eles foram capazes de transformá-los em pontos de comando e controle que serviam anúncios maliciosos quando acionados por scripts de segunda fase ou abertos por um link. Surpreendentemente, todos os scripts PHP maliciosos encontrados por Notícias cibernéticas estavam todos disfarçados de legítimos Plug-ins do WordPress.

Notícias cibernéticas‘ Vincentas Baubonis explicou em um novo relatório como um pedaço de JavaScript O código inicialmente levou os pesquisadores de segurança a investigar mais, dizendo:

“Esta parte específica do código JavaScript chamou a atenção da equipe por causa da grande ofuscação e condições estranhas de implantação. A ofuscação de código é uma técnica empregada por desenvolvedores legítimos e agentes de ameaças para evitar a engenharia reversa. Nesse caso, ele foi usado para reverter a carga útil real para ocultar o código malicioso.”

Segmentação de sites WordPress mais antigos

Depois que os scripts PHP maliciosos foram feitos para parecer plugins legítimos, ataques automatizados foram lançados contra versões mais antigas de sites WordPress para inserir referências em seu HTML que levavam ao comando e pontos de controle previamente invadidos.

De acordo com Notícias cibernéticas, a primeira fase de todas as iterações desse ataque comprometeu quatro sites que foram usados ​​para hospedar scripts de comando e controle, enquanto o segundo estágio visava principalmente sites que executavam versões mais antigas do WordPress, variando de 3.5.1 a 4.9.1. A equipe de pesquisa da publicação encontrou pelo menos 560 sites WordPress comprometidos e destes, 382 foram forçados a executar códigos maliciosos. Felizmente, como resultado de erros ou medidas de segurança integradas do WordPress, nem todos os sites comprometidos conseguiram gerar receita para os cibercriminosos responsáveis.

Além disso, apenas sete em cada dez sites estavam veiculando anúncios maliciosos possivelmente como resultado de razões técnicas ou Tema WordPress security que impedia que o código fosse executado em lugares onde não deveria.

Quando se trata dos países com os sites mais segmentados, os EUA tiveram 201 sites comprometidos, seguidos pela França (62), Alemanha (51) e Reino Unido (34). Quanto ao hospedagem na web os provedores são os mais atingidos, Godaddy assumiu o primeiro lugar com 42 sites, seguido de WebsiteWelcome com 30 sites e OVH ISP com 27 sites. No entanto, quando os dados foram indexados pelo ISP, a OVH SAS liderou a lista com 55 sites invadidos com Unified Layer em segundo lugar com 53 sites e GoDaddy em terceiro com 43 sites.

Peça online

3172177

Receba as Novidades

Receba as novidades para encontrar as melhores oportunidades de crescimento do seu negócio.

Inteligência em web, design e marketing. 
Brasil – Portugal –  Europa


© 2024 mktize.com | Agência digital