Alfonso Maruccia

Wordpress, infezione da cryptojacking con contorno di keylogger

Una nuova campagna malevola prende di mira la popolare piattaforma Web, infettando migliaia di siti "minori" allo scopo di rubare dati sensibili e abusare della CPU dell'utente per il mining di criptomoneta

Roma - I ricercatori di sicurezza hanno individuato una nuova minaccia informatica basata sull'abuso dei siti WordPress, un problema ricorrente che in quest'ultima variante si è fatto ancora più pericoloso per gli utenti finali e i loro dati sensibili.

La campagna scoperta dagli analisti di Sucuri è l'ultima variante di un attacco già in corso da aprile e che sfrutta gli script malevoli presenti su cloudflare.solutions, nome di dominio che richiama l'omonimo servizio di CDN (Cloudflare) ma che in ultima istanza non ha nulla a che fare con quel business.

Nel primo attacco i cyber-criminali avevano sfruttato gli script per visualizzare advertising sui siti WordPress compromessi, nel secondo (novembre) lo stesso gruppo aveva implementato una propria versione dello script Coinhive per il mining di Monero via browser.
Il terzo e ultimo attacco in ordine di tempo, invece, ritiene il componente per il mining ma vi aggiunge un componente con funzionalità da keylogger in grado di registrare e inviare a un server terzo tutto il testo digitato dall'utente.

Gli script attaccano sia il frontend che il backend di un sito basato su WordPress, e possono quindi compromettere le credenziali di accesso o anche - nel caso dei portali che fanno sull'e-commerce - mettere in pericolo i dati finanziari e personali dei visitatori.

Il numero di siti compromessi ammonta a circa 5.500, dicono i ricercatori, tutti al di fuori della lista Alexa dei 200.000 siti Web più popolari. Per ripulire l'infezione Sucuri consiglia la modifica manuale del file function.php - un componente standard per tutti i temi WordPress - con la cancellazione di tutte le istanze che richiamano il caricamento dello script add_js_scripts. Le credenziali di accesso a un sito infetto sono invece da considerare completamente compromesse.

Alfonso Maruccia
Notizie collegate
  • AttualitàCoinhive, script malevoli anche nelle app AndroidIl mining invisibile di criptomoneta Monero si fa strada su nuovi vettori di attacco, e adesso pure gli utenti di gadget mobile dovranno stare attenti alle app che scaricano dal Play Store. Partecipano al mining anche i siti WordPress compromessi
  • AttualitàIl cryptojacking si è fatto furboUna nuova campagna malevola a base di mining Web si nasconde alla vista dell'utente, continuando a sfruttare la CPU locale anche dopo la chiusura del browser. Un "trucco" fin qui identificato su un singolo sito Web per adulti ma che potrebbe presto crescere in popolaritÓ
8 Commenti alla Notizia Wordpress, infezione da cryptojacking con contorno di keylogger
Ordina