Sites WordPress invadidos usam navegadores dos utilizadores para atingir outros sites

Os cibercriminosos estão a realizar ataques em larga escala em sites comprometidos do WordPress, carregando scripts maliciosos que forçam os navegadores dos utilizadores a usar palavras-passe de força bruta para outros sites, com vista a obter estas credenciais.

Foi a Sucuri que detetou pela primeira vez a campanha maliciosa, sendo que a empresa de cibersegurança tem estado a seguir os passos de um ator de ameaça conhecido por violar sites para injetar scripts de drenagem de carteira criptografada – que são scripts maliciosos que exfiltram o conjunto de criptomoedas e ativos quando o utilizador acede à sua carteira.

Quando um utilizador visita estes sites comprometidos, os scripts exibem mensagens enganosas com vista a convencer os visitantes a conectarem as suas carteiras ao site para, de seguida, exfiltrarem os ativos contidos. 

Este tipo de scripts popularizou-se significativamente em 2023, com a criação de sites Web3 falsos com drenadores de carteira. Posteriormente, os cibercriminosos acedem ilegalmente a contas X, criam vídeos no YouTube ou publicam anúncios no Google para promover estes sites e obter acesso às criptomoedas dos utilizadores que os visitam.

No final de fevereiro, os cibercriminosos evoluíram da tática de drenagem de carteiras e estão agora a utilizar sites comprometidos do WordPress para carregar scripts que forçam os navegadores dos utilizadores visitantes a realizar ataques de força bruta para obter credenciais de contas noutros sites, segundo um relatório recente da Sucuri.

Um ataque de força bruta remete para quando um cibercriminoso tenta fazer login numa determinada conta com palavras-passe diferentes para adivinhar a correta. Obtendo acesso a estas credenciais, o agente de ameaça é capaz de exfiltrar dados, injetar scripts maliciosos ou criptografar ficheiros no site.

Nesta campanha maliciosa, os cibercriminosos comprometem um site WordPress para injetar código malicioso nos modelos HTML e, quando os utilizadores acedem ao site, os scripts são carregados no seu navegador. Estes scripts permitem que o navegador estabeleça contacto com o servidor dos atores da ameaça para receber uma tarefa de força bruta de palavras-passe.

Atualmente, existem mais de 1.700 sites invadidos com estes scripts ou com os seus carregadores, de acordo com o PublicHTML, um mecanismo de busca de código-fonte HTML. Isto significa que existe um extenso conjunto de utilizadores que estão involuntariamente a contribuir para a distribuição destes ataques de força bruta.

Segundo a Sucuri, o objetivo dos cibercriminosos é construir um amplo portfólio de sites a partir dos quais poderão lançar novos ataques em grande escala, como ataques de drenagem de criptografia.

“Provavelmente, perceberam que, na sua escala de infeção (cerca de mil sites comprometidos), os drenadores de criptografia ainda não são muito lucrativos”, conclui Denis Sinegubko, investigador da Sucuri. “Além disso, atraem muita atenção e os seus domínios são bloqueados muito rapidamente. Portanto, parece razoável trocar a carga útil por algo mais furtivo, que ao mesmo tempo pode ajudar a aumentar o seu portfólio de sites comprometidos para futuras ondas de infeções que irão ser capazes de monetizar de uma forma ou de outra”.