Los ciberdelincuentes están utilizando sitios comprometidos. Sitios web de WordPress para formar un enorme ejército para ataques de relleno de credenciales, han advertido los expertos.
Un informe de los investigadores de ciberseguridad Sucuri detectó la campaña y cree saber cuál es su objetivo: buscar sitios vulnerables en el Creador de sitios web, donde podrán instalar un pequeño script en las plantillas HTML. Ese script obliga a la computadora del visitante del sitio web a visitar un sitio web de WordPress diferente (en segundo plano, sin que la víctima lo sepa) e intentar iniciar sesión usando diferentes combinaciones de nombre de usuario y contraseña.
Una vez que la víctima descifra el código de inicio de sesión, aún sin saberlo, transmitirá esa información a los atacantes y recibirá más instrucciones (otro sitio web para descifrar).
Construyendo una base
Citando información del motor de búsqueda de código fuente HTML, PublicHTML, pitidocomputadora informó que actualmente hay más de 1.700 sitios web que alojan este script, «lo que proporciona un grupo masivo de usuarios que, sin saberlo, serán reclutados en este ejército distribuido de fuerza bruta». Entre las víctimas, según informa la publicación, se encuentra el sitio web de la Asociación de Bancos Privados del Ecuador.
Sucuri dice que ha estado rastreando a este actor de amenazas en el pasado. Hasta ahora, el grupo utilizaba la misma técnica con un propósito diferente: instalar el AngelDrainer. malware. AngelDrainer es un fragmento de código que, como su nombre indica, «drena» todos los fondos que una víctima pueda tener en sus billeteras de criptomonedas. Para hacer esto, la víctima necesita conectar su billetera (como la billetera MetaMask, por ejemplo) a un servicio de cifrado. El grupo incluso creó sus propios sitios web Web3 falsos para que la gente conectara sus billeteras.
Los investigadores no están seguros de por qué el grupo decidió pasar al relleno de credenciales. Una explicación es que están construyendo una base más grande de sitios comprometidos que luego pueden usarse para lanzar ataques más destructivos, como campañas de vaciado de billeteras.
«Lo más probable es que se hayan dado cuenta de que, a su escala de infección (~1000 sitios comprometidos), los drenadores de criptomonedas todavía no son muy rentables», concluyó Sucuri.
«Además, llaman demasiado la atención y sus dominios se bloquean con bastante rapidez. Por lo tanto, parece razonable cambiar la carga útil por algo más sigiloso, que al mismo tiempo pueda ayudar a aumentar su cartera de sitios comprometidos para futuras oleadas de infecciones que se producirán». poder monetizar de una manera u otra.»