Как это работает?
— Выбор цели: злоумышленники определяют и составляют список уязвимых WordPress-сайтов.
— Извлечение пользователей: они сканируют эти сайты, извлекая пароли и логины админов сайта.
— Вредоносная имплантация: хакеры внедряют вредоносный Javascript-код (chx.js) на взломанные сайты.
— Распределенный брутфорс: когда вы посещаете зараженный сайт, код превращает ваш браузер в инструмент для взлома паролей. Далее ваш браузер неосознанно запрашивает «задание» с контролируемого хакерами сервера. Задание включает URL-адрес целевого сайта, правильное имя пользователя и список из 100 распространенных паролей. Ваш браузер бомбардирует целевой сайт попытками входа с использованием этих паролей. Если пароль срабатывает, на целевом сайте создается файл, свидетельствующий об успешном взломе.
— Эксплуатация успеха: злоумышленник проверяет успешные логины, чтобы получить несанкционированный доступ к взломанным сайтам.
Синегубко наблюдал, как тысячи компьютеров посетителей неосознанно участвовали в этой атаке, в совокупности атакуя тысячи других сайтов WordPress. Эффективность заключается в огромном количестве попыток, что затрудняет выделение легитимных логинов из этого распределенного брутфорса.
По состоянию на вторник в атаке участвовали более 700 взломанных сайтов, на которых размещался вредоносный скрипт, «десятки тысяч запросов, направленных на тысячи уникальных доменов и более 1200 уникальных IP-адресов, пытавшихся загрузить украденные учетные данные.
Хотя атака использует уязвимости взломанных веб-сайтов, некоторые меры предосторожности могут обеспечить определенную защиту. Такие инструменты, как NoScript, могут предотвратить выполнение JavaScript на неизвестных сайтах, некоторые блокировщики рекламы могут обеспечить случайную защиту, отфильтровывая вредоносные скрипты.
