Una grossa campagna che si ritiene sia attiva da almeno il 2017 ha violato oltre 4.500 siti web WordPress.
Secondo Sucuri, società di proprietà di GoDaddy, le infezioni comportano l’inserimento di JavaScript offuscato ospitato su un dominio dannoso denominato “track.violetlovelines.com”, progettato per reindirizzare i visitatori verso siti indesiderati.
L’ultima operazione sarebbe in corso dal 26 dicembre 2022, secondo i dati di urlscan.io. Un’ondata precedente, vista all’inizio di dicembre 2022, ha colpito più di 3.600 siti, mentre un’altra serie di attacchi registrati nel settembre 2022 ha coinvolto più di 7.000 siti.
Come sono stati violati i siti WordPress
Il codice illegale viene inserito nel file index.php di WordPress. Sucuri ha rilevato di aver rimosso tali modifiche da oltre 33.000 file sui siti compromessi negli ultimi 60 giorni.
“Negli ultimi mesi, questa campagna di malware è passata gradualmente dalle famigerate pagine truffaldine con CAPTCHA push notification. Alle ‘reti pubblicitarie’ black hat che alternano reindirizzamenti a siti web puramente dannosi”. ha dichiarato Denis Sinegubko, ricercatore di Sucuri.
In questo modo, quando gli ignari utenti approdano su uno dei siti WordPress violati. Viene innescata una catena di reindirizzamenti tramite un sistema di direzione del traffico. Questo fa approdare le vittime su pagine che propongono pubblicità sommarie di prodotti che, ironicamente, bloccano gli annunci indesiderati.
Ancora più preoccupante è il fatto che il sito web di uno di questi, chiamato Crystal Blocker. Sia stato progettato per visualizzare avvisi ingannevoli di aggiornamento del browser, in modo da indurre gli utenti a installare la sua estensione a seconda del browser web utilizzato.
L’estensione del browser è utilizzata da quasi 110.000 utenti:
- Google Chrome (oltre 60.000)
- Microsoft Edge (oltre 40.000)
- Mozilla Firefox (8.635)
Questo non è l’unico caso dove WordPress viene preso di mira. Qualche giorno fa infatti una malware Linux ha sfruttato le falle del CMS e di alcuni plugin per immettere il suo malware
Siti che rubano dati sensibili
Alcuni dei reindirizzamenti rientrano anche nella categoria delle vere e proprie minacce, in cui i siti web infetti fungono da tramite per avviare download drive-by.
Questo include anche il recupero da Discord CDN di un malware per il furto di informazioni. Noto come Raccoon Stealer, in grado di rubare dati sensibili come password, cookie, dati di autofill dai browser e portafogli di criptovalute.
Le scoperte arrivano mentre gli attori delle minacce stanno creando siti web simili a quelli di una serie di software legittimi. Per distribuire trojan attraverso annunci malevoli nei risultati di ricerca di Google.
Google è intervenuto per bloccare uno dei domini coinvolti nello schema di reindirizzamento, classificandolo come un sito non sicuro.
Per mitigare tali minacce, si consiglia ai proprietari di siti WordPress di cambiare le password e di aggiornare i temi e i plugin installati, nonché di rimuovere quelli inutilizzati o abbandonati dai loro sviluppatori.
