Attori malevoli stanno compromettendo i siti WordPress per inserire uno script dannoso che utilizza i browser dei visitatori per eseguire attacchi DDoS (Distributed Denial of Service) distribuiti sui siti Web ucraini
I ricercatori di MalwareHunterTeam hanno scoperto un sito WordPress compromesso che utilizzava questo script quando gli utenti visitavano siti web ucraini. Presi di mira dieci siti Web con attacchi DDoS tra i quali agenzie governative ucraine, gruppi di riflessione, siti di reclutamento per la Legione internazionale di difesa dell’Ucraina, siti finanziari e altri siti filo-ucraini.
Una volta caricato, il JavaScript forzerà il browser dell’utente visitatore a eseguire richieste HTTP GET a ciascuno dei siti elencati, senza più 1.000 connessioni simultanee alla volta.
Gli attacchi DDoS si verificheranno in background senza che l’utente se ne accorga, a parte un rallentamento del browser.
Ciascuna richiesta ai siti Web di destinazione utilizzerà una stringa di query casuale in modo che la richiesta non venga servita tramite un servizio di memorizzazione nella cache, come Cloudflare o Akamai, e sia ricevuta direttamente dal server attaccato.
BleepingComputer ha trovato alcuni siti infettati da questo script DDoS, tuttavia, lo sviluppatore Andrii Savchenko ha affermato che centinaia di siti WordPress sono compromessi per condurre questi attacchi.
“Ce ne sono circa un centinaio in realtà. In tutto il WP vulns. Sfortunatamente, molti fornitori/proprietari non reagiscono”, ha twittato Savchenko.
BleepingComputer, durante la ricerca dello script per trovare altri siti infetti, ha scoperto anche che lo stesso script viene utilizzato dal sito filo-ucraino, https://stop-russian-desinformation.near.page, utilizzato per condurre attacchi ai siti Web russi.
“Quando si visita il sito, i browser degli utenti vengono utilizzati per condurre attacchi DDoS su 67 siti Web russi”, ha affermato BleepingComputer.