Un cybercriminale, identificato con il nome di MUT-1244, è riuscito a rubare oltre 390.000 credenziali di accesso a siti WordPress in un’operazione di attacco che si è protratta per un anno. Questa notizia è stata riportata dai ricercatori di Datadog Security Labs, che hanno monitorato l’attacco e hanno fornito dettagli su come è avvenuto il furto
Un cybercriminale, identificato con il nome di MUT-1244, è riuscito a rubare oltre 390.000 credenziali di accesso a siti WordPress in un’operazione di attacco che si è protratta per un anno. Questa notizia è stata riportata dai ricercatori di Datadog Security Labs, che hanno monitorato l’attacco e hanno fornito dettagli su come è avvenuto il furto.
Secondo i ricercatori, MUT-1244 ha utilizzato una strategia d’attacco combinata per colpire le vittime. Da un lato, è stata condotta una campagna di phishing che ha ingannato gli utenti inducendoli a installare un falso aggiornamento del kernel, spacciato per un aggiornamento del microcodice della CPU. Dall’altro lato, sono stati creati diversi repository su GitHub, contenenti exploit malevoli per vulnerabilità note, che hanno attratto sia esperti di sicurezza informatica sia attori malevoli.
I ricercatori hanno spiegato che “a causa della loro denominazione, molti di questi repository vengono automaticamente inclusi in fonti legittime, come Feedly Threat Intelligence o Vulnmon, come repository proof-of-concept per queste vulnerabilità”. Questo ha aumentato la credibilità dei repository e la probabilità che qualcuno li eseguisse senza rendersi conto del rischio.
Una volta che i sistemi delle vittime sono stati compromessi, MUT-1244 ha utilizzato uno strumento chiamato “yawpp”, presentato come un checker di credenziali WordPress. Questo strumento ha permesso al criminale di raccogliere e rubare quasi 400.000 credenziali di accesso. Le vittime, ignare del pericolo, hanno utilizzato yawpp per verificare la validità dei set di credenziali rubate, spesso acquistati da mercati clandestini.
I dati rubati non si limitano solo alle credenziali WordPress; sono state compromesse anche chiavi SSH e chiavi di accesso AWS da centinaia di altri sistemi colpiti. Le vittime includono non solo esperti di sicurezza informatica e penetration tester, ma anche attori malevoli. Gli attaccanti sono riusciti a sfruttare la fiducia all’interno della comunità della cybersecurity per compromettere numerosi dispositivi e rubare informazioni sensibili.