Segundo o MalwareHunterTeam e outras fontes, alguns sites WordPress invadidos fazem ataques DDoS a alvos ucranianos.
Os hackers estão comprometendo os sites do WordPress para inserir um script malicioso que usa os navegadores dos visitantes para realizar ataques distribuídos de negação de serviço em sites ucranianos.
Sites WordPress invadidos fazem ataques DDoS a alvos ucranianos
Recentmente, o MalwareHunterTeam descobriu um site WordPress comprometido para usar esse script, visando dez sites com ataques Distributed Denial of Service (DDoS).
Esses sites incluem agências governamentais ucranianas, grupos de reflexão, sites de recrutamento para a Legião Internacional de Defesa da Ucrânia, sites financeiros e outros sites pró-ucranianos.
A lista completa de sites segmentados está abaixo:
https://stop-russian-desinformation.near.page
https://gfsis.org/
http://93.79.82.132/
http://195.66.140.252/
https://kordon.io/
https://war.ukraine.ua/
https://www.fightforua.org/
https://bank.gov.ua/
https://liqpay.ua
Quando carregado, o JavaScript forçará o navegador do visitante a realizar solicitações HTTP GET para cada um dos sites listados, sem mais 1.000 conexões simultâneas por vez.
The website of @IformaRedsocial, https://iforma[.]es/, looks got hacked as it is currently includes a script to attempt DDoS Ukrainian / Ukraine related domains/IPs…
cc @0xDanielLopez pic.twitter.com/9cpAgvBiGg— MalwareHunterTeam (@malwrhunterteam) March 28, 2022
Os ataques DDoS ocorrerão em segundo plano sem que o usuário saiba que está acontecendo, além de uma desaceleração do navegador.
Isso permite que os scripts executem os ataques DDoS enquanto o visitante não sabe que seu navegador foi cooptado para um ataque.
Cada solicitação para os sites de destino utilizará uma string de consulta aleatória para que a solicitação não seja atendida por meio de um serviço de cache, como Cloudflare ou Akamai, e seja recebida diretamente pelo servidor que está sendo atacado.
Por exemplo, o script DDoS gerará solicitações como as seguintes nos logs de acesso de um servidor web:
"GET /?17.650025158868488 HTTP/1.1"
"GET /?932.8529889504794 HTTP/1.1"
"GET /?71.59119445542395 HTTP/1.1"
O site BleepingComputer só conseguiu encontrar alguns sites infectados com esse script DDoS. No entanto, o desenvolvedor Andrii Savchenko afirma que centenas de sites WordPress estão comprometidos para realizar esses ataques.
“Na verdade, existem cerca de cem deles. Todos através das vulnerabilidades WP. Infelizmente, muitos provedores/proprietários não reagem.”, twittou Savchenko.
Ao pesquisar o script para encontrar outros sites infectados, o BleepingComputer descobriu que o mesmo script está sendo usado pelo site pró-ucraniano, https://stop-russian-desinformation.near.page, que é usado para realizar ataques em sites russos.
Ao visitar o site, os navegadores dos usuários são usados para realizar ataques DDoS em 67 sites russos.
Embora este site esclareça que usará os navegadores dos visitantes para realizar ataques DDoS contra sites russos, os sites WordPress comprometidos usam os scripts sem o conhecimento dos proprietários do site ou de seus visitantes.
