Molti ricercatori di sicurezza hanno segnalato una campagna di compromissione di domini WordPress: gli attaccanti ottengono il controllo di domini con il famoso CMS WordPress che fanno ancora uso di versioni obsolete del plugin "apikey".
La campagna in corso coinvolge migliaia di domini afferenti a più paesi, ma sono qualche centinaia quelli italiani compromessi, la quasi totalità di proprietà di soggetti privati. L'utente @blackorbird ha reso pubblica già agli inizi di Agosto la lista dei domini compromessi con questa campagna, aggiornata mano a mano: ad ora ammonta a circa 3200 domini. La lista completa, contenente anche i domini .it, è disponibile qui.
I domini compromessi distribuiscono sulle macchine degli ignari utenti il malware "gbot": gbot è un malware che opera su tutte le versioni del sistema operativo Windows, con funzionalità di backdoor e keylogging. Mira principalmente al furto di credenziali.
Copia sul sistema infetto le seguenti copie di se stesso:
- %Windows%\WinUpdaterstd\svchost.exe
- %User Temp%\WinUpdaterstd\svchost.exe
- %User Temp%\winsvchost\svchost.exe
- %Application Data%\nightupdate\svchost.exe
- %Windows%\nightupdate\svchost.exe
Esegue anche alcune modifiche nel registro di sistema, al fine di garantirsi la persistenza.
Correre ai ripari
La campagna è attualmente in corso e si contano nuovi domini infetti ogni giorno. Il primo consiglio è quello di aggiornare immediatamente il proprio CMS e tutti i relativi plugin. In questo caso è urgente assicurarsi che il plugin apikey sia all'ultima versione.
L'altro consiglio utile è quello di non installare estensioni al di fuori di quelle offerte ufficialmente da WordPress.
Nessun commento:
Posta un commento