.
Os hackers estão explorando versões desatualizadas do WordPress e plug-ins para alterar milhares de sites, na tentativa de enganar os visitantes para baixar e instalar malware, descobriram os pesquisadores de segurança.
A campanha de hackers ainda é “muito ao vivo”, Simon Wijckmans, fundador e CEO da Web Security Company C/Side, que descobriu os ataques, ao Strong The One na terça -feira.
O objetivo dos hackers é espalhar malware capaz de roubar senhas e outras informações pessoais dos usuários do Windows e Mac. Alguns dos sites hackeados estão classificados entre os sites mais populares da Internet, de acordo com C/Side.
“Este é um ataque generalizado e muito comercializado”, Himanshu Anand, que escreveu até as descobertas da empresadisse ao Strong The One. Anand disse que a campanha é um ataque de “spray e oração” que visa comprometer qualquer pessoa que visite esses sites, em vez de segmentar uma pessoa ou grupo específico de pessoas.
Quando os sites hackeados do WordPress são carregados no navegador de um usuário, o conteúdo muda rapidamente para exibir uma página de atualização do navegador Chrome Fake, solicitando o download do visitante do site e instalar uma atualização para visualizar o site, descobriu os pesquisadores. Se um visitante aceitar a atualização, o site hackeado solicitará ao visitante que baixe um arquivo malicioso específico disfarçado de atualização, dependendo se o visitante está em um PC Windows ou em um Mac.
A Wijckmans disse que alertou a Automattic, a empresa que desenvolve e distribui o WordPress.com, sobre a campanha de hackers e enviou a lista de domínios maliciosos, e que seu contato na empresa reconheceu o recebimento de seu email.
Quando alcançado pela Strong The One antes da publicação, Megan Fox, porta -voz da Automattic, não comentou por horário de imprensa. Após a publicação, a Automattic disse que a segurança dos plugins de terceiros é, em última análise, de responsabilidade dos desenvolvedores de plug-in do WordPress.
“Existem diretrizes específicas que os autores do plug -in devem consultar e aderir para garantir a qualidade geral de seus plugins e a segurança de seus usuários. Além disso, eles têm à sua disposição um manual de plug -in que abrange vários tópicos de segurança, incluindo as melhores práticas e a segurança dos plugins “, disse o porta -voz.
C/Side disse que identificou mais de 10.000 sites que parecem ter sido comprometidos como parte desta campanha de hackers. A Wijckmans disse que a empresa detectou scripts maliciosos em vários domínios rastejando a Internet e realizando uma pesquisa reversa de DNS, uma técnica para encontrar domínios e sites associados a um certo endereço IP, que revelou mais domínios que hospedam os scripts maliciosos.
O Strong The One não pôde confirmar a precisão dos números da C/Side, mas vimos um site hackeado do WordPress que ainda exibia o conteúdo malicioso na terça -feira.
Do WordPress ao malware infosteal
Os dois tipos de malware que estão sendo empurrados nos sites maliciosos são conhecidos como AMOS (ou AMOS Atomic Soualer), que tem como alvo os usuários do MACOS; e Socgholish, que tem como alvo os usuários do Windows.
Em maio de 2023, a empresa de segurança cibernética SentineLone publicou um relatório Em Amos, classificando o malware como um Infotealer, um tipo de malware projetado para infectar computadores e roubar tantos nomes de usuário e senhas, cookies de sessão, carteiras de criptografia e outros dados sensíveis que permitem que os hackers dividam ainda mais as contas da vítima e roubam seus moeda digital. A empresa de segurança cibernética relatou Cyble Na época, descobriu que os hackers estavam vendendo acesso ao malware Amos no Telegram.
Patrick Wardle, especialista em segurança do MacOS e co-fundador da startup de segurança cibernética focada na Apple Doubleyou, disse ao Strong The One que Amos é “definitivamente o ladrão mais prolífico do macOS” e foi criado com o modelo de negócios de malware como serviço, que significa Os desenvolvedores e proprietários do malware o vendem aos hackers que o implantam.
Wardle também observou que para alguém instalar com sucesso no MacOS o arquivo malicioso encontrado por C/Side “o usuário ainda precisa executá-lo manualmente e pular por muitos aros para ignorar a segurança interna da Apple.”
Embora essa possa não ser a campanha de hackers mais avançada, dado que os hackers confiam em seus alvos para cair na página de atualização falsa e depois instalar o malware, este é um bom lembrete para atualizar seu navegador Chrome através do seu recurso de atualização de software embutido e instalar apenas aplicativos confiáveis em seus dispositivos pessoais.
Malware de roubo de senha e roubo de credenciais foram responsabilizados por alguns dos maiores hacks e violações de dados da história. Em 2024, os hackers criaram em massa as contas de gigantes corporativos que hospedaram seus dados confidenciais com o gigante de computação em nuvem Snowflake usando senhas roubadas dos computadores dos funcionários dos clientes da Snowflake.
Esta história foi atualizada para incluir comentários do porta -voz da Automattic.
.
