Botnet mira sites com WordPress e já afetou mais de 20 mil domínios

WordPress para atacar outras páginas do tipo, assumindo o controle delas por meio de ataques de força-bruta. A ameaça já teria sido responsável por mais de cinco milhões de tentativas maliciosas de login em dezenas de milhares de domínios ao redor do mundo apenas nos últimos 30 dias. O objetivo seria criar uma rede de máquinas zumbis a partir de falhas no sistema do próprio WordPress. Os 20 mil sites participantes do esquema teriam sido infectados desta maneira a partir de servidores proxy baseados na Rússia, que são usados para tornar o tráfico anônimo e virtualmente irrastreável, de forma que as autoridades e serviços de segurança não cheguem à infraestrutura original por trás de todo o ataque. O principal alvo dos ataques são sites que utilizam a interface XML-RPC do WordPress, que permite a comunicação entre a ferramenta e diferentes tipos de dispositivos. É a partir daí que a botnet realiza o ataque de força bruta, utilizando senhas comuns entre usuários “admin” e, depois, credenciais aleatórias em rápida sucessão até chegar àquela que, efetivamente, abre as portas do serviço. De acordo com os especialistas do The Defiant Threat Intelligence, grupo responsável pela descoberta da onda de ataques, o método de força-bruta não é necessariamente eficaz contra sites específicos, mas, quando utilizado em grande escala, pode representar perigo. Como o objetivo dos hackers parece ser o fortalecimento da botnet, qualquer adição é válida e, sendo assim, a rede realiza golpes massivos em busca de qualquer adição.

Os especialistas, entretanto, afirmam que os hackers cometeram erros na programação dos proxies, o que permitiu que a interface de comando e controle por trás do ataque fosse acessada, levando à localização dos servidores originais. Entretanto, os pesquisadores afirmam que o serviço de hospedagem utilizado não costuma atender a pedidos de remoção de conteúdo, mesmo que venham de autoridades estrangeiras, o que pode fazer com que a onda continue ativa mesmo após sua descoberta. Felizmente, se proteger dessa exploração é relativamente simples, bastando habilitar restrições quanto a tentativas sucessivas de login no painel de controle do WordPress. Os especialistas também recomendam o uso de plugins que atuam especificamente contra ataques de força bruta, enquanto os usuários mais avançados podem desabilitar a interface XML-RPC, que é utilizada nos ataques. Fonte: ZDnet
]]>

Fechar Menu