Раскрыта схема хакеров, которая могла заразить ваш браузер через WordPress

Как это работает?

- Выбор цели: злоумышленники определяют и составляют список уязвимых WordPress-сайтов.

- Извлечение пользователей: они сканируют эти сайты, извлекая пароли и логины админов сайта.

- Вредоносная имплантация: хакеры внедряют вредоносный Javascript-код (chx.js) на взломанные сайты.

- Распределенный брутфорс: когда вы посещаете зараженный сайт, код превращает ваш браузер в инструмент для взлома паролей. Далее ваш браузер неосознанно запрашивает «задание» с контролируемого хакерами сервера. Задание включает URL-адрес целевого сайта, правильное имя пользователя и список из 100 распространенных паролей. Ваш браузер бомбардирует целевой сайт попытками входа с использованием этих паролей. Если пароль срабатывает, на целевом сайте создается файл, свидетельствующий об успешном взломе.

- Эксплуатация успеха: злоумышленник проверяет успешные логины, чтобы получить несанкционированный доступ к взломанным сайтам.

Синегубко наблюдал, как тысячи компьютеров посетителей неосознанно участвовали в этой атаке, в совокупности атакуя тысячи других сайтов WordPress. Эффективность заключается в огромном количестве попыток, что затрудняет выделение легитимных логинов из этого распределенного брутфорса.

По состоянию на вторник в атаке участвовали более 700 взломанных сайтов, на которых размещался вредоносный скрипт, «десятки тысяч запросов, направленных на тысячи уникальных доменов и более 1200 уникальных IP-адресов, пытавшихся загрузить украденные учетные данные.

Хотя атака использует уязвимости взломанных веб-сайтов, некоторые меры предосторожности могут обеспечить определенную защиту. Такие инструменты, как NoScript, могут предотвратить выполнение JavaScript на неизвестных сайтах, некоторые блокировщики рекламы могут обеспечить случайную защиту, отфильтровывая вредоносные скрипты.