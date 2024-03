Honderden besmette WordPress-websites laten de browser van bezoekers bruteforce-aanvallen tegen andere sites uitvoeren, zo waarschuwt securitybedrijf Sucuri. Aanvallers voorzien al gecompromitteerde WordPress-sites van een script dat vervolgens gebruikersnamen en wachtwoorden van een remote locatie ophaalt. Vervolgens zal het script deze inloggegevens, via de browser van de bezoeker, tegen duizenden WordPress-sites proberen.

Op basis van de gebruikte scripts en opgehaalde inloggegevens vermoedt Sucuri dat de aanvallers zo'n 42.000 wachtwoorden per aangevallen website proberen. Daarbij krijgt elke browser van een bezoeker een 'taak' die uit een aan te vallen website bestaat en honderd wachtwoorden. De gebruikersnamen van de betreffende WordPress-sites zijn al in eerdere fase door de aanvallers verzameld.

Zodra een inlogpoging succesvol is wordt een tekstbestand met de inloggegevens in de WordPress upload directory geplaatst. De aanvallers kunnen zo eenvoudig controleren of de aanval succesvol is geweest. Is de opgegeven 'taak' door de browser van de bezoeker uitgevoerd, dan ontvangt die een nieuwe taak. De bruteforce-aanvallen blijven net zolang doorgaan zolang de besmette WordPress-site geopend is. Het bruteforce-script is door Sucuri al op meer dan vijfhonderd websites aangetroffen.