Una nuova backdoor si è camuffata da legittimo plugin di caching in cui entrare WordPress. Pertanto consente agli attori malintenzionati di creare un account amministratore, monitorare l’attività del sito e dirottare i siti Web.
“La capacità del malware di alterare il contenuto del sito web, fornendo invece agli amministratori il contenuto originale per ritardarne il rilevamento, è particolarmente inquietante”, commenta. Sandra MarsicoCustomer Success Manager presso Swascan: “La tattica dimostra una notevole sofisticazione da parte degli aggressori nel rendere la compromissione ancora più difficile da rilevare e affrontare.”
Ecco come tutelarsi, visto che “nel 2023 possiamo contare circa 810 milioni di siti web che utilizzano la tecnologia WordPress come CMS”, ricorda il team che gestisce il SOC di Ansia e “questo lo rende un bersaglio estremamente attraente per i malintenzionati, soprattutto considerando la disponibilità di oltre 60.000 plugin che possono essere liberamente utilizzati per estendere le funzionalità di un sito web”.
Backdoor WordPress: quali rischi corri?
Il malware è una backdoor con una serie di funzioni in grado di gestire i plugin e nascondersi da quelli attivi su siti Web compromessi, sostituendo i contenuti o reindirizzando alcuni utenti verso posizioni dannose.
Gestione dei documenti e firma digitale: abilita un processo completamente digitale sicuro
I metodi tipici per compromettere un sito Web includono il furto di credenziali, il cracking di password o lo sfruttamento di una vulnerabilità in un plug-in o tema esistente.
Ma “il rapporto pubblicato da Wordfence non fa menzione di uno specifico vettore di attacco che spieghi come il malware sia arrivato al sito compromesso”, sottolineano gli specialisti SOC di Axitea: tuttavia “le azioni che consente di compiere e le capacità di evasione incluse dimostrano ancora una volta come gli attacchi moderni continuano a sviluppare livelli di sofisticazione sempre più importanti e complessi, dal metodo del compromesso all’evasione dagli occhi di un amministratore”.
Gli analisti di Ribellecreatori del plugin di sicurezza Wordfence per WordPress, hanno scoperta il nuovo malware a luglio mentre puliva un sito web. Mettendo la backdoor al microscopio, i ricercatori hanno osservato che veniva fornita “con un commento di apertura dall’aspetto professionale” per mascherarsi da strumento di memorizzazione nella cache, in genere per aiutare a ridurre la pressione sul server, al fine di migliorare i tempi di elaborazione. caricamento delle pagine.
Strumento di memorizzazione nella cache
Infatti, “il malware mascherato da Caching Tool ha permesso agli aggressori di accedere al back-end dei siti interessati come amministratori, prendendo così il controllo non solo dei contenuti esposti ma anche degli utenti, cancellando infine le tracce di accesso”, conferma Alessandro Di Liberto: “Si tratta di una strategia di attacco silenzioso che compromette la privacy e la SEO degli utenti, monetizzando illegalmente grazie a contenuti fraudolenti pubblicati all’insaputa del legittimo proprietario del sito.”
La decisione di imitare questo strumento sembra intenzionale. Infatti garantisce che passi inosservato durante le ispezioni manuali. Inoltre, il plugin dannoso è impostato per autoescludersi dall’elenco dei “plugin attivi” come mezzo per eludere i controlli.
I dettagli
Il malware ha le seguenti caratteristiche: creazione di utenti (come ad esempio il “superadmin” con password codificata e permessi di amministrazione, mentre una seconda funzione può rimuovere l’utente per cancellare le tracce dell’infezione); rilevamento dei bot; sostituzione dei contenuti; controllo dei plug-in; invocazione remota.
Quando identifica i visitatori come bot (ad esempio, crawler dei motori di ricerca), il malware fornisce loro contenuti diversi, come lo spam, inducendoli a indicizzare il sito compromesso alla ricerca di contenuti dannosi. In questo modo, gli amministratori potrebbero notare un improvviso aumento del traffico o segnalazioni di utenti che lamentano di essere reindirizzati a posizioni dannose.
Il malware può anche alterare il contenuto di post e pagine e inserire collegamenti o pulsanti spam. Gli amministratori del sito Web ricevono contenuti non modificati per ritardare la compromissione.
Gli operatori di malware possono anche abilitare o disabilitare da remoto plugin WordPress arbitrari sul sito compromesso. Inoltre, cancella le sue tracce dal database del sito, in modo da mantenere nascosta questa attività.
La backdoor monitora infine le stringhe specifiche dell’agente utente, consentendo agli aggressori di attivare in remoto varie funzioni dannose.
Come mitigare il rischio di backdoor in WordPress
“I criminali informatici affinano costantemente le loro tattiche per eludere le misure di sicurezza e compromettere i siti web”, continua Marsico, “i sistemi, le reti aziendali, portando alla luce minacce sempre più avanzate e difficili da rilevare”.
Defiant ha rilasciato una firma di rilevamento per gli utenti della versione gratuita di Wordfence e ha aggiunto una regola firewall per proteggere gli utenti Premium, Care e Response dalla backdoor. Pertanto, i proprietari di siti Web dovrebbero utilizzare credenziali forti e uniche per gli account amministratore, mantenere aggiornati i plug-in e rimuovere componenti aggiuntivi e utenti inutilizzati.
“Attacchi come questo malware mascherato da plugin di utilità ci ricordano l’importanza di osservare sempre le migliori pratiche di sicurezza”, avverte il team che gestisce il SOC di Axitea, “dall’uso di password complesse all’impegno di mantenere sempre aggiornate le tecnologie utilizzatesia per un importante sito di eCommerce che per il blog personale di qualsiasi persona”.
Adotta un Approccio Zero Trust è essenziale. Ma “l’approccio Zero-Trust”, avverte Alessandro Di Liberto, Swascan SOC Analyst, “non devono limitarsi solo agli utenti ma anche ai plug-in che interagiscono con i servizi esposti, il rischio di lasciare una backdoor aperta per potenziali aggressori è molto alto. Avere pieno controllo e consapevolezza di plug-in, autorizzazioni e funzionalità diventa quindi una fondamentale strategia di difesa soprattutto in presenza di integrazioni di terze parti”.
Il consiglio giusto aiuta
“Affidati ad esperti di sicurezza informatica“, evidenzia Marsico, “che con la loro esperienza e competenza sono in grado non solo di monitorare i sistemi ma di monitorare l’intera evoluzione delle minacce, identificare nuovi pattern di attacco e sviluppare adeguate strategie di protezione, diventa un’esigenza sempre più pressante per le aziende che vogliono proteggere stessi e vogliono proteggere i propri clienti da danni, perdita di dati e compromissioni della sicurezza.
Infatti “porta sul retro implementato da questi tipi di malware non sono facili da individuare per i non esperti, creando così importanti vulnerabilità che rimangono irrisolte per lungo tempo”, conferma il team SOC di Axitea: “Dall’offuscamento del proprio codice alle tecniche di evasione, come la possibilità di creare e rimuovere a piacimento l’utente amministrativo fittizio ‘superadmin’ o visualizzarlo inalterato contenuto solo ai proprietari di siti Web, il malware moderno sfugge facilmente all’occhio inesperto. Ed è per questo che affidarsi alle attività di Red Teaming supporta l’analisi del proprio stato di sicurezza con un grado di approfondimento maggiore, poiché consente di individuare più facilmente compromissioni di questo tipo e fornire un quadro generale del vostro livello di sicurezza e delle capacità di risposta agli incidenti.”
@TUTTI I DIRITTI RISERVATI