Una recente campagna malware, denominata Sign1, ha infettato oltre 39.000 siti WordPress, mostrando annunci popup e reindirizzamenti indesiderati ai visitatori. Questa campagna utilizza tecniche sofisticate per iniettare codice maligno attraverso widget HTML personalizzati e plugin legittimi, evitando di modificare i file core di WordPress.
Come funziona Sign1
Gli autori di Sign1 sfruttano vulnerabilità note o attacchi brute force per accedere ai siti web, quindi inseriscono il codice dannoso principalmente tramite il plugin “Simple Custom CSS and JS”. Una volta infiltrati, utilizzano URL dinamici che cambiano ogni 10 minuti per scaricare ulteriori script maligni, rendendo difficile per i sistemi di sicurezza bloccarli in modo efficace.
Tecniche evasive e impatto
Sign1 adotta strategie di offuscamento come la codifica XOR e l’uso di nomi di variabili casuali, complicando la sua rilevazione. Inoltre, controlla referrer e cookie specifici prima di attivarsi, mirando principalmente ai visitatori di grandi piattaforme come Google, Facebook, Yahoo e Instagram, e rimanendo dormiente negli altri casi.
Questa campagna, scoperta da Sucuri, ha mostrato una crescente capacità di evitare rilevamenti e blocchi, rappresentando una minaccia significativa per la sicurezza dei siti WordPress. Per mitigare questi rischi, è fondamentale utilizzare password complesse, aggiornare regolarmente i plugin e eliminare quelli non necessari, minimizzando così le superfici di attacco vulnerabili.
WordPress sempre sotto attacco
Negli ultimi tempi, diversi siti WordPress sono stati bersagliati da campagne malware sofisticate, che hanno messo in luce la necessità di una maggiore attenzione alla sicurezza per i proprietari di siti web. Tra queste, spiccano:
Balada Injector: Questa campagna ha colpito migliaia di siti WordPress, iniettando codice malevolo tramite una vulnerabilità nel plugin Popup Builder. Il malware è stato in grado di reindirizzare gli utenti verso siti di phishing o altri siti compromessi, dimostrando l’importanza di mantenere aggiornati i plugin e monitorare attivamente la sicurezza dei siti.
FakeUpdates: Una campagna di malware denominata FakeUpdates è stata identificata come una minaccia significativa per i siti WordPress. Questa tattica implica l’uso di falsi avvisi di aggiornamento per ingannare gli utenti e installare software dannoso sui siti compromessi.
Campagne di Brute Force: Alcune campagne hanno sfruttato siti WordPress infetti per lanciare attacchi brute force contro altri siti web. Questo tipo di attacco mira a decifrare le credenziali di accesso attraverso tentativi ripetuti, utilizzando le risorse dei siti infetti.
Questi esempi evidenziano l’importanza di adottare misure di sicurezza robuste, come l’aggiornamento regolare dei plugin e dei temi, l’implementazione di soluzioni di sicurezza affidabili e la formazione degli utenti sulla consapevolezza delle minacce. La sicurezza di WordPress deve essere considerata una priorità continua per proteggere i dati degli utenti e mantenere l’integrità dei siti web.
