« Une attaque attire des milliers d’utilisateurs web dans un botnet de craquage de mots de passe »

Les attaquants ont transformé des centaines de sites piratés exploitant le logiciel WordPress en serveurs de commande et de contrôle qui obligent les navigateurs des visiteurs à effectuer des attaques de piratage de mots de passe. Une recherche sur le web du JavaScript exécutant l’attaque a montré qu’il était hébergé sur 708 sites au moment de la publication des informations sur Ars, contre 500 il y a deux jours. Denis Sinegubko, le chercheur qui a repéré la campagne, a déclaré à l’époque avoir vu des milliers d’ordinateurs de visiteurs exécutant le script, ce qui les a amenés à accéder à des milliers de domaines pour tenter de deviner les mots de passe des utilisateurs disposant de comptes sur ceux-ci. « C’est ainsi que des milliers de visiteurs à travers des centaines de sites infectés essaient involontairement et simultanément de forcer des milliers d’autres sites WordPress tenus par des tiers », a écrit Sinegubko. « Et comme les requêtes proviennent des navigateurs de vrais visiteurs, vous pouvez imaginer que c’est un défi de filtrer et de bloquer de telles requêtes. » Comme les sites piratés hébergeant le JavaScript malveillant, tous les domaines ciblés exécutent le système de gestion de contenu WordPress. Le script, juste 3 kilobits en taille, contacte une URL getTask contrôlée par un attaquant, qui fournit alors le nom d’un utilisateur spécifique sur un site WordPress spécifique, ainsi que 100 mots de passe courants. Lorsque ces données sont transmises au navigateur visitant le site piraté, il tente de se connecter au compte utilisateur ciblé en utilisant les mots de passe candidats. Le JavaScript fonctionne dans une boucle, demandant des tâches à l’URL getTask et rapportant les résultats à l’URL completeTask, puis exécutant à nouveau les étapes. Un extrait du JavaScript hébergé apparaît ci-dessous, et en dessous, la tâche résultante :