Los piratas informáticos están comprometiendo los sitios de WordPress para insertar un script malicioso que utiliza los navegadores de los visitantes para realizar ataques distribuidos de denegación de servicio en sitios web ucranianos.
Hoy, MalwareHunterTeam descubrió un sitio de WordPress comprometido para usar este script, dirigido a diez sitios web con ataques de denegación de servicio distribuido (DDoS).
The website of @IformaRedsocial, https://iforma[.]es/, looks got hacked as it is currently includes a script to attempt DDoS Ukrainian / Ukraine related domains/IPs…
— MalwareHunterTeam (@malwrhunterteam) March 28, 2022
cc @0xDanielLopez pic.twitter.com/9cpAgvBiGg
Estos sitios web incluyen agencias gubernamentales ucranianas, grupos de expertos, sitios de reclutamiento para la Legión Internacional de Defensa de Ucrania, sitios financieros y otros sitios pro-ucranianos.
La lista completa de sitios web específicos se encuentra a continuación:
- https://stop-russian-desinformation.near.page
- https://gfsis.org/
- http://93.79.82.132/
- http://195.66.140.252/
- https://kordon.io/
- https://war.ukraine.ua/
- https://www.fightforua.org/
- https://bank.gov.ua/
- https://liqpay.ua
- https://edmo.eu
Cuando se carga, el JavaScript obligará al navegador del visitante a realizar solicitudes HTTP GET a cada uno de los sitios enumerados, sin más de 1000 conexiones simultáneas a la vez.
Los ataques DDoS se producirán en segundo plano sin que el usuario sepa que están ocurriendo, aparte de una ralentización de su navegador.
Esto permite que los scripts realicen los ataques DDoS mientras el visitante no sabe que su navegador ha sido cooptado para un ataque.
Cada solicitud a los sitios web objetivo utilizará una cadena de consulta aleatoria para que la solicitud no se atienda a través de un servicio de almacenamiento en caché, como Cloudflare o Akamai, y el servidor atacado la reciba directamente.
Por ejemplo, el script DDoS generará solicitudes como las siguientes en los registros de acceso de un servidor web:
"OBTENER /?17.650025158868488 HTTP/1.1"
"OBTENER /?932.8529889504794 HTTP/1.1"
"OBTENER /?71.59119445542395 HTTP/1.1"
Al investigar el script para encontrar otros sitios infectados, BleepingComputer descubrió que el mismo script está siendo utilizado por el sitio pro-ucraniano, https://stop-russian-desinformation.near.page, que se utiliza para realizar ataques en sitios web rusos.
Al visitar el sitio, los navegadores de los usuarios se utilizan para realizar ataques DDoS en 67 sitios web rusos.
Si bien este sitio aclara que utilizará los navegadores de los visitantes para realizar ataques DDoS contra sitios web rusos, los sitios de WordPress comprometidos utilizan los scripts sin el conocimiento de los propietarios del sitio web o de sus visitantes.