Wordpress, infezione da cryptojacking con contorno di keylogger

Una nuova campagna malevola prende di mira la popolare piattaforma Web, infettando migliaia di siti "minori" allo scopo di rubare dati sensibili e abusare della CPU dell'utente per il mining di criptomoneta

Roma – I ricercatori di sicurezza hanno individuato una nuova minaccia informatica basata sull’ abuso dei siti WordPress , un problema ricorrente che in quest’ultima variante si è fatto ancora più pericoloso per gli utenti finali e i loro dati sensibili.

La campagna scoperta dagli analisti di Sucuri è l’ultima variante di un attacco già in corso da aprile e che sfrutta gli script malevoli presenti su cloudflare.solutions , nome di dominio che richiama l’omonimo servizio di CDN (Cloudflare) ma che in ultima istanza non ha nulla a che fare con quel business.

Nel primo attacco i cyber-criminali avevano sfruttato gli script per visualizzare advertising sui siti WordPress compromessi , nel secondo (novembre) lo stesso gruppo aveva implementato una propria versione dello script Coinhive per il mining di Monero via browser.

Il terzo e ultimo attacco in ordine di tempo, invece, ritiene il componente per il mining ma vi aggiunge un componente con funzionalità da keylogger in grado di registrare e inviare a un server terzo tutto il testo digitato dall’utente.

Gli script attaccano sia il frontend che il backend di un sito basato su WordPress , e possono quindi compromettere le credenziali di accesso o anche – nel caso dei portali che fanno sull’e-commerce – mettere in pericolo i dati finanziari e personali dei visitatori.

Il numero di siti compromessi ammonta a circa 5.500 , dicono i ricercatori, tutti al di fuori della lista Alexa dei 200.000 siti Web più popolari. Per ripulire l’infezione Sucuri consiglia la modifica manuale del file function.php – un componente standard per tutti i temi WordPress – con la cancellazione di tutte le istanze che richiamano il caricamento dello script add_js_scripts . Le credenziali di accesso a un sito infetto sono invece da considerare completamente compromesse.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Mimancava scrive:
    Cuckold per android
    questa mi mancava! ora ho capito perché alcuni utenti di questi forum la hanno fissa con certi argomenti.
  • bubba scrive:
    oh qualcosa di interessante..... ma mi
    oh qualcosa di interessante..... ma mi domando...... il manifest ha una 20ina di tag (meno comandi del basic del c64)... c'era proprio bisogno di usare del bloatware general-purpose stuff come l'XML (o RDF ecc)? Uno poi va ad usare un parser 'standard', che ti processa di tutto secondo le rfc/w3c e saltano fuori questi XXXXXX... se proprio intriga tanto, alla peggio un bel DTD *hardcoded* ...
    • 3918faf50a6 scrive:
      Re: oh qualcosa di interessante..... ma mi
      - Scritto da: bubba
      oh qualcosa di interessante..... ma mi
      domando...... il manifest ha una 20ina di tag
      (meno comandi del basic del c64)... c'era proprio
      bisogno Le librerie XML oltre al parsing fanno la validazione, se specifichi il DTD puoi gestire pure le versioni, inoltre, anche se in questo caso è stato abusato, l'include serve, parte del manifest puo venire dai plugin.
      di usare del bloatware general-purpose
      stuff come l'XML (o RDF ecc)?
      XML viene considerato un bloatware perchè spesso moltiplica il numero di caratteri caricati nei pacchetti http, ma in questo caso si tratta di un file limitato letto in locale, la differenza nel tempo di elaborazione con una alternativa più semplice è dell'ordine dei millisecondi.
      Uno poi va ad usare un parser 'standard', che ti
      processa di tutto secondo le rfc/w3c e saltano
      fuori questi XXXXXX... se proprio intriga tanto,
      alla peggio un bel DTD *hardcoded*
      ...Tra un parser standard e uno non standard mi sa tanto che è il secondo quello che contiene più vulnerabilità.
      • bubba scrive:
        Re: oh qualcosa di interessante..... ma mi
        - Scritto da: 3918faf50a6
        - Scritto da: bubba

        oh qualcosa di interessante..... ma mi

        domando...... il manifest ha una 20ina di tag

        (meno comandi del basic del c64)... c'era
        proprio

        bisogno

        Le librerie XML oltre al parsing fanno la
        validazione, se specifichi il DTD puoi gestire
        pure le versioni, inoltre, anche se in questo
        caso è stato abusato, l'include serve, parte del
        manifest puo venire dai
        plugin.A parte che non hai capito il punto (dopo ci torno) sei sicuro che non te lo sei sognato? i tag (o element se vuoi) validi sono quelli indicati qui https://developer.android.com/guide/topics/manifest/manifest-intro.html

        di usare del bloatware general-purpose

        stuff come l'XML (o RDF ecc)?



        XML viene considerato un bloatware perchè spesso
        moltiplica il numero di caratteri caricati nei
        pacchetti http, ma in questo caso si tratta di un
        file limitato letto in locale, la differenza nel
        tempo di elaborazione con una alternativa più
        semplice è dell'ordine dei
        millisecondi.


        Uno poi va ad usare un parser 'standard', che ti

        processa di tutto secondo le rfc/w3c e saltano

        fuori questi XXXXXX... se proprio intriga tanto,

        alla peggio un bel DTD *hardcoded*

        ...

        Tra un parser standard e uno non standard mi sa
        tanto che è il secondo quello che contiene più
        vulnerabilità.eh appunto.. non hai capito il punto... la libreria e la funzione java non e' che sia propriamente buggata... e' usata MALE, perche essendo XML un " bloatware general-purpose stuff" si occupa/preoccupa di tutta una serie di robe che nel povero manifest android non servono. Nel caso di specie un inutile supporto a !ENTITY che poi ha creato il bubbone.Tu dovessi parsare/generare un file .pls useresti un bloatware XML-RDF like o ti fai un parser ad hoc semplice e leggero?
        • 3918faf50a6 scrive:
          Re: oh qualcosa di interessante..... ma mi

          A parte che non hai capito il punto (dopo ci
          torno) sei sicuro che non te lo sei sognato? i
          tag (o element se vuoi) validi sono quelli
          indicati qui
          https://developer.android.com/guide/topics/manifes
          E' tanto difficile da capire? Man mano che passano le versioni i tag ammessi possono cambiare. La manutenzione è più semplice appoggiandosi a XML.



          Tra un parser standard e uno non standard mi sa

          tanto che è il secondo quello che contiene più

          vulnerabilità.
          eh appunto.. non hai capito il punto... la
          libreria e la funzione java non e' che sia
          propriamente buggata... e' usata MALE, perche
          essendo XML un " bloatware general-purpose stuff"
          si occupa/preoccupa di tutta una serie di robe
          che nel povero manifest android non servono. Nel
          caso di specie un inutile supporto a !ENTITY che
          poi ha creato il bubbone. :|Mi arrendo.
          Tu dovessi parsare/generare un file .pls useresti
          un bloatware XML-RDF like o ti fai un parser ad
          hoc semplice e
          leggero?
  • lamer scrive:
    alla faccia di quelli ...
    ...che mi craccano i programmi. Sto ore ed ore a sviluppare e gli altri si cuccano il mio codice senza far nulla e senza pagarmelo neanche una birra in cambio. Così ho vi metto un bel malware e quando craccate vi cracco io...
    • bubba scrive:
      Re: alla faccia di quelli ...
      - Scritto da: lamer
      ...che mi craccano i programmi. Sto ore ed ore a
      sviluppare e gli altri si cuccano il mio codice
      senza far nulla e senza pagarmelo neanche una
      birra in cambio. Così ho vi metto un bel malware
      e quando craccate vi cracco
      io...beh non e' che prima di questo bug scrivere malware fosse impossibile o ontologicamente vietato.... e' solo un tantino illegale diffonderlo ..
    • 3918faf50a6 scrive:
      Re: alla faccia di quelli ...
      1) Se non vuoi che ti copino il codice offuschi e cifri tutto quello che puoi.2) Qui il malware (se mai ce ne sono stati) non è inserito nel codice di un'app, qui si parla di malware che potrebbe essere distribuito tramite librerie messe a disposizione volontariamente.
Chiudi i commenti