WordPress, infezione da cryptojacking con contorno di keylogger – Punto Informatico



Roma – I ricercatori di sicurezza hanno individuato una nuova minaccia informatica basata sull’abuso dei siti WordPress, un problema ricorrente che in quest’ultima variante si è fatto ancora più pericoloso per gli utenti finali e i loro dati sensibili.La campagna scoperta dagli analisti di Sucuri è l’ultima variante di un attacco già in corso da aprile e che sfrutta gli script malevoli presenti su cloudflare.solutions, nome di dominio che richiama l’omonimo servizio di CDN (Cloudflare) ma che in ultima istanza non ha nulla a che fare con quel business.

Nel primo attacco i cyber-criminali avevano sfruttato gli script per visualizzare advertising sui siti WordPress compromessi, nel secondo (novembre) lo stesso gruppo aveva implementato una propria versione dello script Coinhive per il mining di Monero via browser.

Il terzo e ultimo attacco in ordine di tempo, invece, ritiene il componente per il mining ma vi aggiunge un componente con funzionalità da keylogger in grado di registrare e inviare a un server terzo tutto il testo digitato dall’utente.

Gli script attaccano sia il frontend che il backend di un sito basato su WordPress, e possono quindi compromettere le credenziali di accesso o anche – nel caso dei portali che fanno sull’e-commerce – mettere in pericolo i dati finanziari e personali dei visitatori.

Il numero di siti compromessi ammonta a circa 5.500, dicono i ricercatori, tutti al di fuori della lista Alexa dei 200.000 siti Web più popolari. Per ripulire l’infezione Sucuri consiglia la modifica manuale del file function.php – un componente standard per tutti i temi WordPress – con la cancellazione di tutte le istanze che richiamano il caricamento dello script add_js_scripts. Le credenziali di accesso a un sito infetto sono invece da considerare completamente compromesse.

Alfonso Maruccia



こんな記事も読まれています



コメントを残す