Hackers controlando uma “botnet” de mais de 20.000 infectados WordPress sites estão atacando outros sites WordPress, de acordo com um relatório da A equipe de inteligência de ameaças da Defiant. As botnets tentaram gerar até cinco milhões de logins maliciosos do WordPress nos últimos trinta dias.
De acordo com o relatório, os hackers por trás deste ataque estão usando quatro servidores de comando e controle para enviar solicitações a mais de 14.000 servidores proxy de um provedor russo. Esses proxies são então usados para anonimizar o tráfego e enviar instruções e um script para os sites “escravos” infectados do WordPress sobre quais dos outros sites WordPress serão eventualmente alvo. Os servidores por trás do ataque ainda estão online e visam principalmente a interface XML-RPC do WordPress para testar uma combinação de nomes de usuário e senhas para logins de administrador.
Vídeos recomendados
“As listas de palavras associadas a esta campanha contêm pequenos conjuntos de senhas muito comuns. No entanto, o script inclui funcionalidade para gerar dinamicamente senhas apropriadas com base em padrões comuns… Embora seja improvável que essa tática funcione ter sucesso em qualquer site, pode ser muito eficaz quando usado em escala em um grande número de alvos”, explica The Defiant Threat Intelligence equipe.
Relacionado
- Microsoft oferece até US$ 20 mil para identificar vulnerabilidades de segurança no Xbox Live
Os ataques à interface XML-RPC não são novos e data de 2015. Se você está preocupado com a possibilidade de sua conta WordPress ser afetada por este ataque, a equipe do Defiant Threat Intelligence relata que é melhor ativar restrições e bloqueios para logins com falha. Você também pode considerar o uso de plug-ins do WordPress que protegem contra ataques de força bruta, como o Plug-in Wordfence.
A equipe da Defiant Threat Intelligence compartilhou informações sobre os ataques com as autoridades policiais. Infelizmente, Relatórios ZDNet que os quatro servidores de comando e controle não podem ser colocados offline porque estão hospedados em um provedor que não atende solicitações de remoção. Ainda assim, os pesquisadores entrarão em contato com provedores de hospedagem identificados com os sites escravos infectados para tentar limitar o alcance do ataque.
Alguns dados foram omitidos do relatório original sobre este ataque porque podem ser explorados por terceiros. O uso dos proxies também dificulta a localização dos ataques, mas o invasor fez erros que permitiram aos pesquisadores acessar a interface dos servidores de comando e controle por trás do ataque. Todas essas informações estão sendo consideradas “uma grande quantidade de dados valiosos” para os investigadores.
Recomendações dos Editores
- WordPress afirma que a Apple quer 30% dos lucros da App Store, mesmo que seja gratuita
- O que é WordPress?
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
