Hackers roubam 390.000 credenciais WordPress a outros hackers

Um grupo de hackers, identificado como MUT-1244, conduziu uma campanha ao longo de um ano, roubando mais de 390.000 credenciais de WordPress a outros hackers.

Por vezes o alvo mais fácil não é roubar dados às vítimas, mas sim aos ladrões que já fizeram esse trabalho, e foi precisamente isso que aconteceu neste caso.

De acordo com o Datadog Security Labs, os atacantes utilizaram emails de phishing e repositórios maliciosos no GitHub para distribuir malware. As vítimas, que incluíram investigadores de segurança, red teamers e também hackers maliciosos, foram enganadas por explorações falsas de proof-of-concept (PoC) e campanhas de phishing disfarçadas de actualizações de kernel. O malware propagou-se através de ficheiros de configuração adulterados, pacotes npm maliciosos e scripts Python, resultando no roubo de dados e mineração de criptomoedas. O ataque também comprometeu centenas de sistemas, roubando dados sensíveis, como chaves privadas SSH e tokens de acesso AWS.

A operação explorou a confiança na comunidade de cibersegurança, atacando profissionais que executaram as ferramentas maliciosas sem saber. O grupo MUT-1244 conseguiu obter quase 400 mil credenciais de WordPress roubadas, usando sua ferramenta “yawpp” para validar estas credenciais, enganando outros hackers para instalar o seu malware. O payload de segunda fase permitiu aos atacantes extrair os dados roubados para plataformas como o Dropbox e file.io.

Os investigadores do Datadog alertam que esta campanha, que se prolonga há mais de um ano, continua activa, com centenas de sistemas comprometidos. Este incidente sublinha como até especialistas em cibersegurança podem ser vítimas de ataques bem-planeados, expondo os seus dados mais sensíveis.