Diversi gruppi di cyber attaccanti stanno attivamente sfruttando una vulnerabilità critica di esecuzione codice da remoto che riguarda oltre 300.000 siti WordPress che eseguono versioni vulnerabili del plugin File Manager. Una volta ottenuto il controllo di un sito vulnerabile, gli attaccanti si preoccupano di metterlo al sicuro da ulteriori attacchi: una modalità piuttosto inusuale, ma un chiaro segno del fatto che è in corso una vera e propria guerra tra cyber criminali per ottenere il controllo di quanti più siti WordPress vulnerabili possibili impedendone l'accesso ad altri attori.
La vulnerabilità in questione consente ad un attaccante non autenticato di caricare file dannosi PHP ed eseguire codice dannoso dopo la violazione della falla: il team di sviluppatori di File Manager ha già risolto il problema col rilascio della versione 6.9 del File Manager (se hai un sito WordPress che esegue il File Manager consigliamo il passaggio a questa versione prima possibile).
La falla è stata corretta pochissime ore dopo che gli sviluppatori sono stati informati del problema: la falla era infatti una 0-day, segnalata dal ricercatore Ville Korhnen che stava conducendo analisi sugli attacchi in corso. Il team di Wordpress ha comunque individuato più di 1.7 milioni di siti web esaminati da vari autori di malware e attacchi informatici tra il 1 e il 3 settembre 2020. In un report sulla questione recentemente aggiornato, l'azienda di sicurezza Defiant ha spiegato che gli attaccanti non hanno affatto cessato l'assedio, anzi il numero totale dei siti web WordPress potenzialmente attaccabili è salito a 2.6 milioni.
Qualche dettaglio sull'attacco in corso
Tra tutti i gruppi, stando ai dati di Defiant e WordPress, ve ne sono sopratutto due che stanno ottenendo grandi successi nella distribuzione di malware tramite siti web compromessi. Uno è un gruppo di sospetta origine marocchina, specializzato nel furto di credenziali utenti da siti web e-commerce che utilizzano PrestaShop. Questo gruppo inietta nei siti web compromessi del codice dannoso che raccoglie ed esfiltra le credenziali di quegli utenti che eseguono tentativi di login via Telegram: le credenziali rubate sono direttamente rivendute nel dark web.
L'altro gruppo invece inietta una backdoor in una cartella random e nella webroot del sito, in entrambi i casi sotto forma di file .ico così da ridurre le possibilità dell'admin del sito di rendersi conto dell'accesso non autorizzato. L'infector PHP usato da questo secondo gruppo è stato riconosciuto come una variante di un infector usato in precedenza per la distribuzione di miner di criptovaluta e per campagne di spam SEO.
La guerra per il controllo dei siti
I due gruppi, spiegano da Defiant, si stanno combattendo a vicenda per impedire agli altri di effettuare exploit: ottenuto l'accesso ad un sito compromesso, proteggono con una password il file vulnerabile connector.minimal.php, così da impedire successivi exploit. Da questo dipende il successo di questi due gruppi rispetto agli altri: sono stati capaci di bloccare altri aggressori e stanno usando migliaia di IP diversi nei loro attacchi.
Nessun commento:
Posta un commento