Sites utilizam navegador do usuário para lançar ataques contra Rússia e Ucrânia

Os ataques de negação de serviço seguem como uma das principais armas da guerra digital entre Rússia e Ucrânia, com um script malicioso usando sites com Wordpress para redirecionar tráfego. Os ataques acontecem em ambos os lados, com pelo menos 10 domínios ucranianos e 67 páginas russas sendo alvos de golpes de negação de serviço desse tipo, com os próprios navegadores dos usuários sendo utilizados para esse fim.

• Estudo revela Brasil entre líderes de distribuição de ataques DDoS em 2021
• Kaspersky é acusada de espionagem e recebe sanções nos EUA; empresa nega

A descoberta inicial foi feita pelos pesquisadores em segurança digital do MalwareHunterTeam, que descobriram um código em JavaScript rodando nas páginas da Iforma, uma escolha espanhola de cursos profissionalizantes. A partir dele, poderiam ser geradas dezenas de milhares de conexões a uma lista de 10 sites ucranianos, com direito a páginas informativas sobre a guerra, bancos, serviços financeiros, agências do governo e domínios de recrutamento para os esforços de guerra.

Os ataques ocorriam sem o consentimento do usuário, que apenas poderia perceber uma maior lentidão do navegador e um aumento no consumo de rede como reflexo dos golpes. O script também é capaz de randomizar as solicitações, sem utilizar serviços de cache ou redirecionamento, aumentando a eficácia dos golpes recebidos pelos domínios indicados.

A porta de entrada seriam vulnerabilidades em plugins da plataforma Wordpress, normalmente a partir de extensões não atualizadas contendo brechas conhecidas. De acordo com o especialista Andrii Savchenko, seriam centenas de sites contaminados com o script malicioso, em uma campanha ativa de negação de serviço contra domínios da Ucrânia.

Entretanto, uma apuração do site Bleeping Computer também encontrou o mesmo código sendo utilizado em ofensivas digitais contra a Rússia. Neste caso, o site infectado fornece informações contra a propaganda do país invasor e recursos para quem quiser auxiliar a Ucrânia, enquanto usa a conexão do usuário para direcionar um grande volume de conexões a 67 sites.

Novamente, na mira, estão páginas ligadas ao governo, serviços de informação, plataformas financeiras e outros sites essenciais para a população do país. A diferença é que, no caso do domínio localizado pela reportagem, não se trata de uma vulnerabilidade no Wordpress, e sim, de um uso consciente, com direito a um aviso exibido na tela sobre a utilização da conexão do usuário em ataques DDoS contra a Rússia.

Após a publicação, entretanto, o site em questão foi desativado. Enquanto isso, a ideia é que as centenas de sites Wordpress contaminados continuem ativos, com mais e mais intrusões sendo possíveis através de sistemas desatualizados ou sem as devidas configurações de segurança. A recomendação é que os administradores mudem esse cenário, sempre aplicando updates às extensões e à própria plataforma de gerenciamento de conteúdo, enquanto mantêm olho vivo por atividades estranhas, páginas criadas sem autorização e demais indicadores de comprometimento.

Fonte: Bleeping Computer