Cibercriminosos implantam drenadores de criptografia em milhares de sites WordPress

Cibercriminosos implantam drenadores de criptografia em milhares de sites WordPress

Cibercriminosos implantam drenadores de criptografia em milhares em quase 2.000 sites WordPress. Os sites hackeados agora exibem NFT falsos e pop-ups de descontos para induzir os visitantes a conectar suas carteiras a drenadores de criptografia que roubam fundos automaticamente.

Drenadores de criptografia em sites WordPress

A empresa de segurança de sites Sucuri divulgou no mês passado que hackers comprometeram aproximadamente 1.000 sites WordPress para promover drenadores de criptografia, que eles promoveram por meio de malvertising e vídeos do YouTube. Acredita-se que os agentes da ameaça não tiveram sucesso com sua campanha original e começaram a implantar scripts de notícias nos sites comprometidos para transformar os navegadores dos visitantes em ferramentas para forçar brutamente as senhas de administrador em outros sites.

De acordo com as informações, esses ataques envolveram um conjunto de aproximadamente 1.700 sites de força bruta, incluindo exemplos proeminentes como o site da Associação de Bancos Privados do Equador. O Bleeping Computer pontua que o objetivo era construir um conjunto grande o suficiente de sites que pudessem eventualmente monetizar em uma campanha mais extensa.

O pesquisador de segurança cibernética MalwareHunterTeam (Via: Bleeping Computer) pontuou que os atores da ameaça agora começaram a monetizar o conjunto de sites para exibir pop-ups promovendo ofertas falsas de NFT e descontos criptográficos.

Embora não se saiba quantos sites comprometidos estão exibindo esses drenadores de criptografia, uma pesquisa no Urlscan mostra que mais de 2.000 sites comprometidos carregaram scripts maliciosos nos últimos sete dias. Nem todos estão gerando golpes pop-up de criptografia neste momento, mas isso pode mudar a qualquer momento.

Pop-ups levam a drenadores de criptografia

Os scripts maliciosos são carregados do domínio dynamic-linx[.]com, que é o mesmo URL que a Sucuri viu no mês passado. Este script irá verificar a existência de um cookie específico (“haw”) e, caso não exista, injeta scripts maliciosos na página web, conforme mostrado abaixo.

cibercriminosos-implantam-drenadores-de-criptografia-em-milhares-de-sites-wordpress

O código malicioso exibe aleatoriamente um pop-up promocional, levando as vítimas a conectarem suas carteiras para cunhar um NFT promissor ou receber um desconto no site. Mas, isso não passa de um golpe.

cibercriminosos-implantam-drenadores-de-criptografia-em-milhares-de-sites-wordpress
cibercriminosos-implantam-drenadores-de-criptografia-em-milhares-de-sites-wordpres

O BleepingComputer testou vários sites que hospedavam esses scripts e, embora inicialmente houvesse alguns problemas com os pop-ups que não tentavam se conectar às carteiras, eles finalmente começaram a funcionar novamente. Quando você clica no botão conectar, os scripts exibirão inicialmente suporte nativo para as carteiras MetaMask, Safe Wallet, Coinbase, Ledger e Trust Wallet.

No entanto, eles também oferecem suporte ao ‘WalletConnect’, que oferece suporte a muitas outras carteiras, expandindo significativamente o escopo de segmentação. Assim que um visitante conectar o site agora Web3 às suas carteiras, o cripto drenador roubará todos os fundos e NFTs da conta e os enviará aos atores da ameaça. Deve-se observar que o MetaMask exibirá um aviso ao visitar sites infectados com esses scripts maliciosos.

Os drenadores de criptografia se tornaram um grande problema para a comunidade de criptomoedas, com agentes de ameaças invadindo contas X conhecidas e criando vídeos de IA e publicidade maliciosa para promover sites que utilizam scripts maliciosos. Para evitar a perda de seus ativos digitais para operadores de drenagem de criptografia e outros criminosos cibernéticos, conecte sua carteira apenas a plataformas confiáveis.