Una nuova campagna malevola iniziata questa settimana prende di mira i siti WordPress, piattaforma di gestione e pubblicazione dei contenuti (CMS) la cui popolarità fa sempre più gola ai cyber-criminali. Nel caso in oggetto si parla di un attacco di grandi dimensioni, un’operazione volta a compromettere in massa i siti WP per “arruolarli” nell’attacco o sfruttare i server sottostanti per il mining di criptovaluta Monero.
Individuato da Wordfence , l’attacco viene descritto come aggressivo con un picco di 14 milioni di tentativi di accesso all’ora . La rete malevola usata dai criminali comprende 10.000 indirizzi IP unici, tutti focalizzati nell’attaccare 190.000 siti WordPress ogni ora.
I cyber-criminali fanno uso di una combinazione di liste di password comuni ed “euristica basata sul nome di dominio e i contenuti del sito attaccato”, dicono da Wordfence, con l’obiettivo di “indovinare” le credenziali di accesso dell’account amministratore del sito.
Una volta raggiunto l’obiettivo, l’attacco prevede l’installazione di uno script per il mining Monero – in pieno stile cryptojacking – oppure, in alternativa, l’infezione del sito e l’arruolamento forzato come bot nella campagna malevola. Stando alle analisi, i cyber-criminali avrebbero già guadagnato un numero di Monero equivalenti a $100.000 .
L’attacco scoperto da Wordfence conferma, qualora ce ne fosse bisogno, la popolarità di un CMS come WordPress sia presso l’utenza comune che per i cyber-criminali: è di pochi giorni fa la notizia dell’installazione “nascosta” di una backdoor all’interno di un plugin molto popolare , e anche i database in standard MySQL – “cuore” di ogni installazione WordPress – assieme ai database MSSQL sono un obiettivo frequente degli hacker black hat.
Alfonso Maruccia