Attaque majeure forme un Botnet de Craquage de Mots de Passe, des milliers d'utilisateurs impactés
Les attaquants ont déployé une stratégie sournoise en transformant des centaines de sites piratés utilisant le logiciel WordPress en serveurs de commande et de contrôle, orchestrant des attaques de piratage de mots de passe via les navigateurs des visiteurs.
Une enquête approfondie a révélé que le code JavaScript malveillant, utilisé pour effectuer ces attaques, était hébergé sur 708 sites à ce jour, marquant une augmentation significative par rapport aux 500 recensés il y a seulement deux jours. Denis Sinegubko, le chercheur derrière cette découverte, a précisé que des milliers d’ordinateurs de visiteurs ont été enrôlés involontairement pour exécuter le script, les incitant à accéder à des milliers de domaines dans le but de tenter de deviner les mots de passe associés à différents comptes utilisateur.
« C’est ainsi que des milliers de visiteurs sur des centaines de sites Web infectés tentent, sans le savoir et simultanément, de forcer brutalement des milliers d’autres sites WordPress tiers », a expliqué Sinegubko.
Tous les sites web ciblés exécutent le système de gestion de contenu WordPress. Le script malveillant, d’une taille minuscule de seulement 3 kilobits, fonctionne en interagissant avec une URL de tâche contrôlée par les attaquants. Cette URL fournit le nom d’utilisateur d’un compte utilisateur spécifique sur un site WordPress particulier, ainsi qu’une liste de 100 mots de passe courants. Le script utilise ensuite ces informations pour tenter de se connecter au compte utilisateur ciblé, répétant le processus en boucle.
La campagne d’attaque est composée de cinq étapes principales, permettant aux attaquants de compromettre les sites Web déjà infectés pour lancer des attaques distribuées par force brute contre des milliers d’autres sites potentiellement vulnérables. Ces étapes incluent la collecte d’URL de sites WordPress, l’extraction des noms d’utilisateur, l’injection de scripts malveillants, la tentative de force brute des informations d’identification et enfin, la vérification des informations d’identification compromises.
Durant une période de quatre jours, plus de 1 200 adresses IP uniques ont été enregistrées tentant de télécharger les fichiers d’informations d’identification. Parmi celles-ci, cinq adresses représentaient plus de 85% des demandes.
Cette nouvelle forme d’attaque est particulièrement inquiétante car elle exploite les ordinateurs et les connexions Internet de visiteurs innocents, sans leur consentement. Pour prévenir de telles attaques, les utilisateurs peuvent envisager d’utiliser des extensions telles que NoScript ou des bloqueurs de publicités pour bloquer l’exécution de JavaScript sur des sites inconnus.
Les attaquants ciblent régulièrement les sites WordPress piratés en utilisant des attaques sophistiquées telles que le piratage de mots de passe via du code JavaScript malveillant, compromettant ainsi la sécurité des visiteurs et des utilisateurs, mettant en œuvre une stratégie sournoise à travers des serveurs de commande et de contrôle, exploitant les vulnérabilités du logiciel et les faiblesses de sécurité, recourant à la force brute pour obtenir des informations d’identification et perpétrer des cyberattaques, comme le souligne Denis Sinegubko, un expert en gestion de contenu, alertant sur la nécessité d’une vigilance accrue et de l’utilisation d’extensions telles que NoScript et des bloqueurs de publicités pour protéger les navigateurs des visiteurs et leurs adresses IP contre de telles menaces.
WordPress, sites piratés, attaques, piratage de mots de passe, code JavaScript, navigateurs, visiteurs, stratégie sournoise, serveurs de commande et de contrôle, sécurité, vulnérabilités, force brute, informations d’identification, cyberattaque, Denis Sinegubko, gestion de contenu, URL, compromis, logiciel, attaquants, navigateurs, adresse IP, extensions, NoScript, bloqueurs de publicités