Les pirates compromettent les sites WordPress pour insérer un script malveillant qui utilise les navigateurs des visiteurs pour effectuer des attaques par déni de service distribuées sur les sites Web ukrainiens.
Aujourd’hui, MalwareHunterTeam a découvert un site WordPress compromis pour utiliser ce script, ciblant dix sites Web avec des attaques par déni de service distribué (DDoS).
Ces sites Web incluent des agences gouvernementales ukrainiennes, des groupes de réflexion, des sites de recrutement pour la Légion internationale de défense de l’Ukraine, des sites financiers et d’autres sites pro-ukrainiens.
La liste complète des sites Web ciblés est ci-dessous :
https://stop-russian-desinformation.near.page https://gfsis.org/ http://93.79.82.132/ http://195.66.140.252/ https://kordon.io/ https://war.ukraine.ua/ https://www.fightforua.org/ https://bank.gov.ua/ https://liqpay.ua https://edmo.eu
Une fois chargé, le JavaScript forcera le navigateur du visiteur à effectuer des requêtes HTTP GET sur chacun des sites répertoriés, sans plus de 1 000 connexions simultanées à la fois.
Le site internet de @IformaRedsocialhttps://iforma[.]es/, semble avoir été piraté car il inclut actuellement un script pour tenter d’attaquer les domaines/IP liés à l’Ukraine/l’Ukraine par DDoS…
cc @0xDanielLopez pic.twitter.com/9cpAgvBiGg– MalwareHunterTeam (@malwrhunterteam) 28 mars 2022
Les attaques DDoS se produiront en arrière-plan sans que l’utilisateur ne le sache, à l’exception d’un ralentissement de son navigateur.
Cela permet aux scripts d’effectuer les attaques DDoS alors que le visiteur ignore que son navigateur a été coopté pour une attaque.
Chaque demande adressée aux sites Web ciblés utilisera une chaîne de requête aléatoire afin que la demande ne soit pas servie via un service de mise en cache, tel que Cloudflare ou Akamai, et soit directement reçue par le serveur attaqué.
Par exemple, le script DDoS générera des requêtes comme celles-ci dans les journaux d’accès d’un serveur Web :
"GET /?17.650025158868488 HTTP/1.1" "GET /?932.8529889504794 HTTP/1.1" "GET /?71.59119445542395 HTTP/1.1"
EZpublish-france.fr n’a pu trouver que quelques sites infectés par ce script DDoS. Cependant, le développeur Andrii Savchenko déclare que des centaines de sites WordPress sont compromis pour mener ces attaques.
« Il y en a environ une centaine en fait. Tout au long des vulnérabilités WP. Malheureusement, de nombreux fournisseurs/propriétaires ne réagissent pas », tweeté Savchenko.
En recherchant le script pour trouver d’autres sites infectés, EZpublish-france.fr a découvert que le même script est utilisé par le site pro-ukrainien, https://stop-russian-desinformation.near.page, qui est utilisé pour mener des attaques sur des sites Web russes.
Lors de la visite du site, les navigateurs des utilisateurs sont utilisés pour mener des attaques DDoS sur 67 sites Web russes.
Bien que ce site précise qu’il utilisera les navigateurs des visiteurs pour mener des attaques DDoS contre des sites Web russes, les sites WordPress compromis utilisent les scripts à l’insu des propriétaires de sites Web ou de leurs visiteurs.