I ricercatori di Sucuri hanno scoperto una nuova tecnica usata dai cybercriminali per rubare le credenziali di login. Invece di usare tentativi diretti vengono sfruttati siti WordPress infetti per caricare script nel browser che effettuano attacchi brute force all’insaputa degli utenti.
Attacco brute force tramite browser
La campagna malware, individuata a metà febbraio, prevedeva l’iniezione di script crypto drainer in siti web compromessi. Quando l’ignaro utente visitava questi siti veniva mostrato un messaggio ingannevole per consigliare il collegamento del wallet (ad esempio per ricevere criptovalute in regalo). Invece iniziava la transazione inversa e il portafoglio veniva svuotato.
A fine febbraio, i cybercriminali hanno modificato lo script iniettato nei siti WordPress. Invece del crypto drainer è presente il codice che consente di eseguire un’altra attività, ovvero un attacco brute force. Quando l’utente visita il sito viene caricato nel browser lo script che preleva da un dominio l’URL del sito da colpire, il nome utente e quasi 42.000 password.
All’insaputa degli utenti, i loro browser effettuano un attacco brute force distribuito. Per ogni password trovata viene creato un file di testo sul sito WordPress compromesso. Al termine, le credenziali sono inviate ai cybercriminali. Dato che le richieste di accesso arrivano dai browser di utenti reali, un simile attacco è difficile da bloccare.
Quasi certamente, i siti compromessi verranno utilizzati per altri tipi di attacco. Gli esperti di Sucuri consigliano di scegliere password robuste e limitare l’accesso all’interfaccia di amministrazione.