Investigadores da Wordfence descobriram uma botnet composta por mais de 20.000 websites do WordPress que estão a ser utilizados como meio de infeção para comprometer outros websites em execução.
“The threat actors (hackers) use a group of four command and control (C2) servers to send requests to over 14,000 proxy servers provided by a Russian proxy provider called best-proxies[.]ru.” reads the analysispublished by WordFence.
“They use these proxies to anonymize the C2 traffic. The requests pass through the proxy servers and are sent to over 20,000 infected WordPress sites. Those sites are running an attack script which attacks targeted WordPress sites.”
A botnet está a ser utilizada pelos atacantes para lançar ataques de força bruta contra outros websites do WordPress, de acordo com o relatado pela equipa do Wordfence Defiant Threat Intelligence.
A botnet já gerou mais de 5 milhões de solicitações de autenticação. A botnet tenta a autenticação XML-RPC para outros websites do WordPress como meio de aceder a contas privilegiadas.
A interface XML-RPC permite que os utilizadores publiquem remotamente conteúdo para um website WordPress utilizando o WordPress ou outras APIs. A interface está localizada no diretório raiz de uma instalação do WordPress no ficheiro xmlrpc.php.
Esta interface possui a particularidade de não bloquear um número máximo de solicitações, o que convida os atacantes a realizarem ataques de força bruta.
Uma análise detalhada da infraestrutura maliciosa permitiu que os investigadores descobrissem que os hackers têm utilizado quatro servidores de comando e controlo (C2) que emitem comandos para os bots por meio de servidores proxy no serviço Best-Proxies.ru com origem russa.
Os investigadores também identificaram mais de 14.000 servidores proxy usados pelo botmaster para anonimizar todo o tráfego produzido.
O processo é simples. Quando o website do WordPress é comprometido, ele começa a realizar ataques de força bruta contra outros websites.
We also noted that the User-Agent strings associated with these requests matched those used by applications commonly seen interacting with the XML-RPC interface, like wp-iphone and wp-android,” continues the analysis.
“Since these applications typically store credentials locally, it was unusual to see a significant amount of failed logins from them, which drew our attention. We identified over 20,000 WordPress slave sites that were attacking other WordPress sites.”
O Wordfence relatou as suas novas descoberta às autoridades e está ajudando-as a desmantelar a botnet.