Aggiornamenti recenti Maggio 8th, 2024 2:00 PM
Mar 07, 2024 Marina Londei Attacchi, In evidenza, Minacce, News, RSS 0
I ricercatori di Sucuri hanno individuato una nuova campagna malware che prende di mira i siti web WordPress e inietta uno script che esegue attacchi brute force dai browser degli utenti.
La campagna nasce da una precedente serie di attacchi che compromettevano i siti WordPress per distribuire drainer di criptovalute; gli attaccanti, in seguito, hanno sviluppato una variante del malware in grado di eseguire brute force su altri siti.
Analizzando i siti web infettati dal drainer, il team di Sucuri ha individuato anche lo script turboturbo.js in numerosi domini WordPress. Lo script contiene un URL usato per ottenere lo username e una lista password; ricevute queste informazioni, lo script forza il browser a eseguire attacchi brute force su centinaia di siti WordPress per validare le combinazioni di credenziali.
Lo script viene caricato non appena un utente visita il sito WordPress infetto. L’attacco brute force a opera del browser non richiede alcuna interazione da parte degli attaccanti: essi, finito il test delle credenziali, ricevono l’elenco delle combinazioni sito web-username-password valide da utilizzare per altri attacchi.
I ricercatori riportano che finora hanno trovato più di 500 siti WordPress infetti; considerando che ogni giorno migliaia di utenti visitano questi siti, il numero di richieste legate agli attacchi brute force è molto elevato. Queste richieste inoltre sono difficili da individuare e bloccare considerando che provengono da browser di utenti legittimi.
Secondo l’analisi di Sucuri, al momento gli attacchi brute force hanno avuto successo solo nello 0,5% dei casi, ma le richieste sono decine di migliaia.
Non è chiaro perché gli attaccanti abbiano abbandonato i crypto-drainer per dedicarsi agli attacchi brute force; secondo Denis Sinegubko, ricercatore senior di Sucuri, è probabile che i drainer non fossero abbastanza redditizi per gli attaccanti, oltre al fatto che venivano bloccati molto velocemente. “Sembra ragionevole cambiare il payload con qualcosa di più furtivo che allo stesso tempo possa contribuire ad aumentare il loro portafoglio di siti compromessi per future ondate di infezioni che saranno in grado di monetizzare in un modo o nell’altro” afferma Sinegubko.
Per proteggersi da questo tipo di attacchi è essenziale usare password robuste e, per gli admin WordPress, restringere l’accesso all’interfaccia di amministrazione solo a indirizzi IP fidati.
Mag 07, 2024 0
Apr 30, 2024 0
Apr 29, 2024 0
Apr 23, 2024 0
Mag 08, 2024 0
Mag 08, 2024 0
Mag 07, 2024 0
Mag 06, 2024 0
Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 07, 2024 0
A fine aprile i ricercatori di Kandji, piattaforma perMag 07, 2024 0
Gli attacchi di phishing non si fermano e i marchi...Mag 06, 2024 0
Questa settimana, il CERT-AGID ha identificato e analizzato...