Il team di ricercatori di sicurezza di Sucuri ha individuato una massiccia campagna di infezioni nell’arco di queste ultime due settimane, denominata Realstatistics.
Questa campagna ha compromesso migliaia di siti web costruiti con Joomla! e con WordPress.
La campagna prende il nome dai domini usati dagli attaccanti, rintracciabili in questo codice Javascript malevolo che viene iniettato nei template PHP dei siti web sotto attacco.
Questa campagna reindirizza i visitatori dei siti web infetti verso l’Exploit Kit Neutrino, il quale tenta l’exploit del browser della vittima cercando di sfruttare specifiche vulnerabilità del browser stesso oppure i plugin di Flash o dei PDF Reader.
Se l’exploit riesce, viene installlato sul pc il ransomwareCryptXXX
Analisi dei siti web compromessi:
Il numero di siti web infetti è andato crescendo costantemente, giorno per giorno, nelle ultime due settimane. Il grafico sotto mostra il numero di siti web infetti e ne evidenzia il trend di crescita nella scorsa settimana.
Un dato interessante è che oltre il 60% dei siti web infetti eseguivano versioni non aggiornate di Joomla! o Wordpress. A partire da questi dati si può dire che gli attaccanti stanno cercando di sfruttare vulnerabilità comuni a entrambi le piattaforme.
Da notare però come le vulnerabilità che in questo caso vengono sfruttate non siano nel core dei CMS, ma in componenti terzi non aggiornati delle piattaforme, come plugin o estensioni.
La gravità dell’infezione di questa campagna non va vista solo in termini delle migliaia di siti compromessi, ma anche dal punto di vista della potenzialità di espansione: più siti web riesce ad infettare più potenziale di diffusione ottiene.
La blacklist di Google
Google ha inserito tutti i siti che recano il codice realstatistics[.] nella blacklist dei siti web dal 3 Luglio.
Risolvere il problema
Anzitutto puoi fare un test sul tuo sito internet: i ricercatori di Sucuri mettono a disposizione il sito https://sitecheck.sucuri.net/ che può valutare la condizione del tuo sito web e individuare questa campagna .
E’ essenziale verificare l’eventuale presenza del codice realstatistic[.] e ,se presente, rimuoverlo dal template infetto.
Aggiornare quindi la piattaforma CMS e tutte le sue componenti (dai plugin alle estensioni), soprattutto quelle che potrebbero aver contribuito come vettore dell’attacco.
Nessun commento:
Posta un commento