JavaScript Backdoor
Hackers Infectaram mais de 1.000 sites com WordPress com um código JavaScript de Terceiros que injeta quatro Backdoors Separados.
“Ao criar quatro backdoors, os invasores garantem vários pontos de reentrada se um for detectado e removido”, explicou o pesquisador da c/side Himanshu Anand em uma análise na quarta-feira.
O código JavaScript Malicioso se origina de cdn.csyndication[.]com. Até agora, pelo menos 908 sites contêm Referências a este domínio.
Os quatro backdoors Funcionam da Seguinte forma:
- Backdoor 1 carrega e instala um plugin falso chamado “Ultra SEO Processor”, que executa comandos emitidos pelo invasor.
- Backdoor 2 injeta JavaScript malicioso em wp-config.php.
- Backdoor 3 adiciona uma chave SSH controlada pelo invasor ao arquivo ~/.ssh/authorized_keys, permitindo acesso remoto persistente.
- Backdoor 4 executa comandos remotos e recupera outra carga útil de gsocket[.]io, provavelmente para abrir um shell reverso.
Para mitigar o risco, os Usuários devem excluir chaves SSH não Autorizadas, rodar Credenciais de Administrador do WordPress e Monitorar logs do sistema para Atividades Suspeitas.
Enquanto isso, Pesquisadores de Segurança Cibernética também Detalharam outra Campanha de malware que Comprometeu mais de 35.000 sites. Este ataque usa JavaScript Malicioso para “Sequestrar Completamente a janela do Navegador do usuário” e Redirecionar os Visitantes para Plataformas de jogos de azar em chinês.
“O ataque parece se originar ou ter como alvo regiões onde o mandarim é amplamente falado. As páginas de destino finais exibem conteúdo de jogos de azar sob a marca ‘Kaiyun’.”
Os redirecionamentos ocorrem por meio de JavaScript Hospedado em cinco Domínios, que atuam como Carregadores para a carga principal Responsável pela Execução dos redirecionamentos:
- mlbetjs[.]com
- ptfafajs[.]com
- zuizhongjs[.]com
- jbwzzzjs[.]com
- jpbkte[.]com
Além disso, um recente O Relatório do Group-IB destaca um agente de ameaça Conhecido como ScreamedJungle, que injeta um código JavaScript chamado Bablosoft JS em sites Magento Comprometidos para coletar Impressões Digitais do usuário. Até agora, mais de 115 sites de Comércio Eletrônico foram Afetados.
O script Injetado faz parte do Conjunto Bablosoft BrowserAutomationStudio (BAS). De acordo com a empresa de Cingapura, ele “inclui várias outras funções que reúnem Informações sobre o sistema e o Navegador dos Usuários que visitam o site Comprometido.”
Os Invasores estão explorando vulnerabilidades conhecidas em versões desatualizadas do Magento (por exemplo, CVE-2024-34102, também conhecido como CosmicSting, e CVE-2024-20720) para violar esses sites. Os pesquisadores identificaram pela primeira vez esse ator de ameaça com motivação financeira no final de maio de 2024.
“A impressão digital do navegador é uma técnica poderosa amplamente usada por sites para rastrear atividades do usuário e personalizar estratégias de marketing”, observou o Group-IB. “No entanto, os cibercriminosos também exploram essas informações para imitar o comportamento legítimo do usuário, contornar medidas de segurança e realizar atividades fraudulentas.”
Fonte: TheHackerNews
