I ricercatori di sicurezza hanno individuato una nuova minaccia informatica basata sull’ abuso dei siti WordPress , un problema ricorrente che in quest’ultima variante si è fatto ancora più pericoloso per gli utenti finali e i loro dati sensibili.
La campagna scoperta dagli analisti di Sucuri è l’ultima variante di un attacco già in corso da aprile e che sfrutta gli script malevoli presenti su cloudflare.solutions , nome di dominio che richiama l’omonimo servizio di CDN (Cloudflare) ma che in ultima istanza non ha nulla a che fare con quel business.
Nel primo attacco i cyber-criminali avevano sfruttato gli script per visualizzare advertising sui siti WordPress compromessi , nel secondo (novembre) lo stesso gruppo aveva implementato una propria versione dello script Coinhive per il mining di Monero via browser.
Il terzo e ultimo attacco in ordine di tempo, invece, ritiene il componente per il mining ma vi aggiunge un componente con funzionalità da keylogger in grado di registrare e inviare a un server terzo tutto il testo digitato dall’utente.
Gli script attaccano sia il frontend che il backend di un sito basato su WordPress , e possono quindi compromettere le credenziali di accesso o anche – nel caso dei portali che fanno sull’e-commerce – mettere in pericolo i dati finanziari e personali dei visitatori.
Il numero di siti compromessi ammonta a circa 5.500 , dicono i ricercatori, tutti al di fuori della lista Alexa dei 200.000 siti Web più popolari. Per ripulire l’infezione Sucuri consiglia la modifica manuale del file function.php
– un componente standard per tutti i temi WordPress – con la cancellazione di tutte le istanze che richiamano il caricamento dello script add_js_scripts
. Le credenziali di accesso a un sito infetto sono invece da considerare completamente compromesse.
Alfonso Maruccia