Campanha maciça de hackers direciona sites do WordPress para roubar credenciais de banco de dados

Os cibercriminosos lançaram mais de 130 milhões de ataques com o objetivo de coletar credenciais de banco de dados de 1,3 milhão de sites WordPress.

Nesta campanha maciça de ataque, os cibercriminosos usaram várias vulnerabilidades de plugins e temas em todo o ecossistema do WordPress.

Pesquisadores de segurança do Wordfence observaram o ataque, o pico do ataque ocorreu em 30 de maio de 2020.

Campanha vinculada ao anterior

Os pesquisadores conseguiram vincular a campanha ao mesmo agente de ameaças que anteriormente tinha como alvo as vulnerabilidades do XSS em uma escala semelhante.

A campanha anterior foi realizada a partir de 20.000 endereços IP diferentes e a nova campanha também usando o mesmo endereço IP.

Todo o ataque tem como alvo vulnerabilidades mais antigas em plugins ou temas desatualizados que permitem que os atacantes baixem arquivos ou exportem.

Com esta campanha, o agente de ameaças tenta baixar o arquivo wp-config.php, que é o núcleo que contém os detalhes de configuração base do site, como informações de conexão com o banco de dados.

A campanha anterior segmentou apenas vulnerabilidades XSS, enquanto a nova campanha segmenta número em plugins ou temas desatualizados. Mas os pesquisadores acreditam que ambos os ataques foram realizados pelo mesmo ator de ameaça.

Ao baixar o arquivo, os invasores podem baixar credenciais do banco de dados e informações de conexão que permitem que os atacantes obtenham acesso ao banco de dados do site.

O banco de dados é o local em que todo o conteúdo do site, como nomes de usuário, senhas, postagens, páginas e comentários, até o tema do site e as configurações do WordPress.

Se o seu site infectado por esta campanha, você pode encontrar as entradas “contendo wp-config.php na string de consulta que retornou um código de resposta 200”, diz o blog do Wordfence.