Un malware su 6000 siti basati su WordPress

Un malware su 6000 siti basati su WordPress

Un gran numero di siti web basati su WordPress viene sfruttato per prendere il controllo del computer degli utenti. Ancora ignota la causa prima, ma si pensa ad una vulnerabilità di un plugin della piattaforma CMS

di pubblicata il , alle 17:01 nel canale Sicurezza
 

La società di sicurezza Sucuri ha pubblicato un intervento sul proprio blog dando risalto ad un problema che sta interessando numerosi siti web basati su CMS WordPress, utilizzati da un gruppo di malintenzionati allo scopo di prendere controllo di quanti più sistemi endpoint possibili.

Si tratta di una vera e propria "campagna criminale" iniziata 15 giorni fa ma che solo negli ultimi giorni ha fatto balzare ad oltre 6000 i siti compromessi. Questi ultimi vengono usati per indirizzare gli ignari visitatori ad un server che ospita un codice di attacco reso disponibile tramite l'exploit kit Nuclear, venduto sul mercato nero. Il server tenta una varietà di exploit differenti sulla base del sistema operativo e delle app presenti sul computer del visitatore.

Daniel Cid, CTO della società di Sucuri, ha commentato: "A pensarci, i siti web compromessi sono mezzi che i criminali usano per avere l'accesso a quanti più desktop endpoint possibili. Qual è il modo più facile di raggiungere i terminali dell'utente finale? I siti web, ovviamente".

Non è ancora stato possibile determinare come sia avvenuta la compromissione dei siti web, ma c'è il forte sospetto che la causa prima sia una vulnerabilità in un qualche plugin di WordPress che viene così infettato da un malware.

Intanto il 17% dei siti compromessi sono già finiti nella blacklist del servizio di Google che avvisa gli utenti quando stanno per accedere ad una risorsa web potenzialmente dannosa. Il blog di Sucuri osserva come tra i siti compromessi vi sia anche quello di un altro provider di soluzioni di sicurezza, Coverity, che viene anch'esso usato come inconsapevole attore della campagna criminale.

Sucuri non ha fornito alcuna informazione che possa consentire l'identificazione dei siti compromessi: coloro i quali hanno la responsabilità di gestione di un sito web basato su WordPress possono usare gli strumenti di scan messi a disposizione della stessa Sucuri ed eventualmente rimuovere il malware.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

31 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pabloski18 Settembre 2015, 17:29 #1
Molte grazie a quest'azienda, ma si è persa l'abitudine di fornire i dettagli? Quali OS sono a rischio?

Hanno postato quella parte di script da cui sembrerebbe che solo i sistemi mobile sono colpiti. Giusto?
cyrux18 Settembre 2015, 20:05 #2

Un genio!

<<Daniel Cid, CTO della società di Sucuri, ha commentato: "A pensarci, i siti web compromessi sono mezzi che i criminali usano per avere l'accesso a quanti più desktop endpoint possibili. Qual è il modo più facile di raggiungere i terminali dell'utente finale? I siti web, ovviamente". >>

A pensarci, l'acqua calda non è ne fredda ne tiepida ne bollente. E' calda ovviamente.
zappy19 Settembre 2015, 12:25 #3
veramente i dettagli sul sito di sucuri ci sono.
non si corre alcun rischio se visitando il sito infetto si tiene js disattivato.
peraltro i siti che richiedono necessariamente js attivo per la semplice navigazione sono sempre da evitare accuratamente.
Emin00119 Settembre 2015, 19:14 #4
Originariamente inviato da: zappy
veramente i dettagli sul sito di sucuri ci sono.
non si corre alcun rischio se visitando il sito infetto si tiene js disattivato.
peraltro i siti che richiedono necessariamente js attivo per la semplice navigazione sono sempre da evitare accuratamente.



Cosa darei per vederti navigare. Fai prima a chiudere il web.

Prova senza javascript a navigare su amazon, sulla mail di tiscali(sempre se vedi qualcosa), guardare le gallery dell'huffingtonpost, navigare su repubblica(c'è da ridere), su farnell.com o rs-online.com(uno spettacolo scegliere i prodotti). Certo esiste la whitelist per i siti conosciuti, per i siti non conosciuti cosa facciamo? Tafazzi-style tanto per complicarci ulteriormente la vita?
zappy19 Settembre 2015, 21:42 #5
Originariamente inviato da: Emin001
Cosa darei per vederti navigare. Fai prima a chiudere il web.
Ti farebbe bene.
Cosa darei per vedere quante estensioni devi usare per bloccare popup, pubblicità, virus, worm ecc ecc ecc...
Prova senza javascript a navigare su amazon, sulla mail di tiscali(sempre se vedi qualcosa), guardare le gallery dell'huffingtonpost, navigare su repubblica(c'è da ridere), su farnell.com o rs-online.com(uno spettacolo scegliere i prodotti).

tipici siti sconosciuti...
Certo esiste la whitelist per i siti conosciuti,

ecco, bravo...
per i siti non conosciuti cosa facciamo?

beccati pure il malware, che problema c'è?
Tasslehoff20 Settembre 2015, 00:35 #6
Originariamente inviato da: zappy
veramente i dettagli sul sito di sucuri ci sono.
non si corre alcun rischio se visitando il sito infetto si tiene js disattivato.
peraltro i siti che richiedono necessariamente js attivo per la semplice navigazione sono sempre da evitare accuratamente.
Sulla carta hai semplicemente ragione, il fatto che è si tratta di una soluzione semplicemente irrealizzabile, chiunque abbia anche solo lontanamente avuto contatti con un utente finale sa bene che "l'uomo della strada" non solo non ha le competenze per disattivare javascript ma non ha nemmeno la più pallida idea di cosa sia.

Il problema di fondo è un altro, negli ultimi anni si è sviluppata un'intera generazione di "espertoni" del web che solo per il fatto di saper mettere insieme un banale cms in php e qualche plugin si fregia del titolo di sviluppatore, aggiungi qualche supercazzola su SEO e magicamente diventano "architects", ancora aggiungi data entry su social networks e diventano "social merdia guru".
Ormai ho perso il conto di quanti "sviluppatori Wordpress" ho visto passare, e quando gli chiedi se sono sviluppatori php ti guardano con occhio pallato...

L'ultima questa settimana, tale "sviluppatrice Wordpress" che lamenta lentezza sul server (un PowerEdge 2950 con 16GB di ram e storage SAS 15k praticamente dedicato), 5 minuti di verifica che scovare la causa, uno dei mille plugin con cui aveva insozzato l'istanza Wordpress cercava di fare una richiesta HTTP verso un sito esterno e la macchina aveva la TCP 80 chiusa in un outbound.
Inutile dire che ignorava bellamente il tutto, e non parlo dell'handshake TCP ma anche solo del semplice concetto di connessione ad un servizio in ascolto su una porta TCP.

Con queste premesse vogliamo soprenderci ancora di fronte a questo genere di problemi?
Ma è normale ragazzi, riduciamo sempre di più il compenso per figure professionali senior (es gare con offerta al ribasso a partire da 160 €/giornata per senior che fino a ieri si pagava 350-400 €/giorno) e di conseguenza vengono etichettate come tali figure che non lo sono, smanettoni senza un briciolo di formazione tecnica e incapaci travestiti da esperti.
Emin00120 Settembre 2015, 03:31 #7
Originariamente inviato da: zappy
Ti farebbe bene.


Ah... caspita ho trovato "Er guru" della navigazione web.

Originariamente inviato da: zappy
Cosa darei per vedere quante estensioni devi usare per bloccare popup, pubblicità, virus, worm ecc ecc ecc...


Vedi lo screenshot in basso.


Originariamente inviato da: zappy
tipici siti sconosciuti...


Spero capirai l'antifona, ecco 2 tipici siti sconosciuti https://freakattack.com/ http://heartbleed.com/


Se uno deve effettuare una ricerca e nel giro di 2/3 ore gira 30/40/50 siti web straconosciuti o di serie aziende produttrici(con siti web colapasta) ma visitati solo per l'occasione cosa fa? Mette in whitelist ogni singolo sito dopo aver visto che che non funziona qualcosa o ablilita js per non perdere ulteriore tempo?
A già vero... su un live cd di whonix ci faccio girare una vm di tails e navigo con una mano sulle parti basse in segno di scaramanzia.

IMHO, js va eliminato a monte punto. Non posso mettermi ogni 3 secondi a sbloccare qualcosa(cookie, js, flash, ecc...) per fruire di un sito web, così come è impossibile evitare siti con JS.


Originariamente inviato da: zappy
beccati pure il malware, che problema c'è?


Aspetta, per una volta voglio pure io fare il figo https://i.imgur.com/II7orDO.png. Scansione fatta appositamente per te e puoi vedere le estensioni utilizzate dal browser, soddisfatto?

n.b. la navigazione in incognito la uso solamente per non tenere in cronologia hwupgrade che come vedi è pure sotto adblock.
rollers20 Settembre 2015, 14:51 #8
@Tasslehoff

Pienamente con te riguardo l'ignoranza del utente che non sa cosa sia un browser tanto meno ne sa del modo in cui funziona.

Ma tu esempio sai come funziona nei dettaglio che so un treno o una macchina e magari te la ripari da solo?

Passi che i plugin spesso fanno più danni che guadagni su questo sono con te al 100%.

In quanto alle figure senior che chiedono cifre che hai citato e fanno tutto, conoscono perfettamente 8-10 linguaggi di prog. (compreso il colabrodo php) in più sanno tutto di networking (addirittura ti mettono su un data center da soli con server farm e servizi).

Su questi soggetti sono scettico mi sembrano persone che sanno tutto e non hanno bisogno di nessuna collaborazione, vivono in una località isolata senza telefono e [U]se[/U] iniziano un lavoro e sempre perfetto senza una svista o un errore( se c'è è colpa di un aggiornamento che non è andato a buon fine).

Personalmente preferisco figure [U]S[/U]enior che con un buon lavoro e (perchè no!) una buona dose pazienza trasformino un/a [U]S[/U]manettone/a in Senior.
Per gente così non esiste un tariffario o cifre, non hanno prezzo.

Questo e quello che manca, senior come dici tu li trovi quì li e la!

Ciao!
bobafetthotmail20 Settembre 2015, 14:56 #9
Molte grazie a quest'azienda, ma si è persa l'abitudine di fornire i dettagli? Quali OS sono a rischio?
C'è il link al loro blog, e dal loro blog c'è il link al Nuclear Exploit Kit, il nome del malware, che tra l'altro è venduto sul mercato nero.

Il NEK è un software di attacco multi-piattaforma, una "base di lancio" per malware specifici per falle varie appena vengono scoperte.

https://heimdalsecurity.com/blog/nu...t-flash-player/

most commonly used vulnerable 3rd party software are:

Oracle Java Runtime environment
Adobe Acrobat Reader
Adobe Flash Player / Plugin
Apple Quicktime


TOTALMENTE INASPETTATO. Java e Flash con una spruzzata di mela.

This kit is capable to deploy a wide range of attacks, from Flash, Silverlight, PDF, and Internet Explorer exploits to the possibility of launching advanced pieces of malware and ransomware.

E l'antivirus non ti protegge, quindi voi che usate OS non patchati credendo che basti un AV... non basta.

[I]I have antivirus protection. I&#8217;m safe, right?

Well, not really. The bad news is that Nuclear, the latest Flash Player exploit kit has been protected with Protect SWF from Kindi [.] Com.

Though it is a legitimate piece of software, which has been designed to protect the Flash content from being decompiled by third party software, in this case this feature makes it difficult for antivirus solutions to access the hidden malicious code and block it from being delivered.[/I]

In quanto alle figure senior che chiedono cifre che hai citato e fanno tutto, conoscono perfettamente 8-10 linguaggi di prog. (compreso il colabrodo php) in più sanno tutto di networking (addirittura ti mettono su un data center da soli con server farm e servizi).
Ecco uno sviluppatore wordpress.
Emin00120 Settembre 2015, 15:07 #10
Originariamente inviato da: zappy
tipici siti sconosciuti...


ricordo che tanti, tantissimi siti conosciuti e ipervisitati utilizzano wordpress, tanto per rimarcare la vac..ta che hai scritto e rientrare in topic.

Es. techcrunch.com, Sonymobile.com, bbcamerica.com, blog.us.playstation.com, rollingstones.com, ilfattoquotidiano.it, blog.mozilla.org, blogs.adobe.com, blogs.blackberry.com e qui per il resto https://wordpress.org/showcase/archives/

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^