Хакерите компрометират сайтовете на WordPress, за да вмъкнат злонамерен скрипт, който използва браузърите на посетителите за извършване на разпределени атаки за отказ на услуга на украински уебсайтове.
Днес MalwareHunterTeam откри сайт на WordPress, компрометиран да използва този скрипт, насочен към десет уебсайта с атаки с разпределен отказ на услуга (DDoS).
Тези уебсайтове включват украински правителствени агенции, мозъчни тръстове, сайтове за набиране на служители за Международния отбранителен легион на Украйна, финансови сайтове и други проукраински сайтове.
Пълният списък с конкретни уебсайтове е по-долу:
|_+_|Когато се зареди, JavaScript ще принуди браузъра на посетителя да прави HTTP GET заявки към всеки от изброените сайтове, с не повече от 1000 едновременни връзки наведнъж.
уебсайтът на @IformaRedsocial https://forma[.]es/, изглежда, че е хакнат, тъй като в момента включва скрипт за опит за DDoS украински/украински свързани домейни/IP...
CC @0xDanielLopez pic.twitter.com/9cpAgvBiGg- MalwareHunterTeam (@malwrhunterteam) 28 март 2022 г
DDoS атаките ще се случват на заден план, без потребителят да знае, че се случват, с изключение на забавяне на браузъра им.
Това позволява на скриптове да извършват DDoS атаки, докато посетителят не знае, че браузърът му е бил кооптиран за атака.
Всяка заявка към целевите уебсайтове ще използва произволен низ за заявка, така че заявката да не се обслужва чрез услуга за кеширане, като Cloudflare или Akamai, а вместо това да бъде получена директно от атакувания сървър.
Например, DDoS скриптът ще генерира заявки като следните в регистрационните файлове за достъп на уеб сървъра:
|_+_|BleepingComputer успя да намери само няколко сайта, заразени с този DDoS скрипт. Въпреки това, разработчикът Андрий Савченко твърди, че стотици WordPress сайтове са компрометирани за тези атаки.
— Всъщност има около сто от тях. Във всички уязвимости на WP. За съжаление много доставчици/собственици не реагират. туитира Савченко.
Разследвайки скрипта, за да намери други заразени сайтове, BleepingComputer открива, че същият скрипт се използва от проукраинския сайт https://stop-russian-disinformation.near.page, който се използва за извършване на атаки срещу руски уебсайтове. .
При посещение на сайта браузърите на потребителите се използват за извършване на DDoS атаки върху 67 руски уебсайта.
Въпреки че този сайт ясно показва, че ще използва браузърите на посетителите за провеждане на DDoS атаки срещу руски уебсайтове, скриптовете се използват от компрометирани WordPress сайтове без знанието на собствениците на уебсайтове или техните посетители.
Какво мислиш?
