I ricercatori di sicurezza informatica di Defiant hanno recentemente individuato un nuovo ceppo di malware preso di mira WordPress impersonando un plugin di ottimizzazione.
L’obiettivo del malwaresi diceva che l’obiettivo fosse garantire agli aggressori l’accesso amministrativo al sito WordPress.
Durante la pulizia di un sito Web durante l’estate del 2022, i ricercatori hanno scoperto un plug-in con un commento di apertura “dall’aspetto professionale” su come sia uno strumento di memorizzazione nella cache che aiuta a ridurre lo sforzo sul server e a ridurre i tempi di caricamento della pagina. Questa scelta, hanno spiegato ulteriormente i ricercatori, è stata deliberata, per assicurarsi che gli amministratori web non sospettassero molto sull’ispezione manuale. Inoltre, il plugin è impostato per autoescludersi dalla lista dei plugin attivi, per lo stesso scopo.
Monetizzazione di siti Web compromessi
Il malware è in grado di fare una serie di cose, inclusa la creazione di un account “superadmin” con una password codificata; rilevamento del traffico bot per fornire loro contenuti spam (a volte erroneamente, causando un picco nelle segnalazioni di spam da parte di utenti autentici); sostituzione dei contenuti del sito e inserimento di link o pulsanti spam (a tutti tranne che agli amministratori del sito in modo che non si rendano conto di cosa sta succedendo); controllare i plugin (attivare o disattivare da remoto i plugin, cancellare ogni traccia della loro esistenza, ecc.); e l’attivazione remota di diverse funzioni dannose.
“Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a spese del sito stesso. SEO classifiche e privacy degli utenti”, i ricercatori hanno spiegato i loro risultati.
Defiant non ha nominato l’autore della minaccia che attualmente distribuisce il malware, né il numero stimato di siti Web infetti. Inoltre, non sappiamo esattamente come viene distribuito il malware, ma i ricercatori ipotizzano che gli aggressori stiano introducendo la forza bruta nei siti Web WP e installando il plug-in, oppure utilizzando credenziali di accesso rubate altrove, negli attacchi precedenti. Quindi, c’è sempre la possibilità che altri plugin vulnerabili vengano abusati per ottenere l’accesso.
attraverso Computer che dorme
Lascia un commento