Connect with us

Sicurezza Informatica

Rivelato un malware su WordPress che ha infettato in un anno 17.000 dispositivi

Published

on

Security Boulevard ha rilevato nell’ultimo anno un’infezione di malware in corso che reindirizza i visitatori del sito web a siti truffa. Finora il monitoraggio ha rilevato oltre 3.000 siti web infettati dall’infezione quest’anno e oltre 17.000 in totale da quando è stata rilevata per la prima volta nel marzo del 2021.

Il comportamento segnalato è sempre lo stesso: dopo pochi secondi di caricamento, il sito web reindirizza a un sito truffa sospetto.

Il malware è sempre iniettato nel file footer.php del tema attivo, e contiene JavaScript offuscato dopo una lunga serie di linee vuote, senza dubbio cercando di rimanere nascosto:

Gli aggressori stanno spesso modificando l’iniezione, ma notiamo sempre gli stessi domini che iniziano il reindirizzamento:

  • amads[.]fun
  • techmarket[.]ink
  • uads[.]negozio
  • 5[.]188[.]62[.]157
  • uads[.]live
  • like-a-dating[.]top
  • techmarket[.]ink

Fonte di infezione?
Non sembra esserci un particolare plugin o tema vulnerabile che gli aggressori hanno sfruttato, e abbiamo visto questo apparire su ambienti WordPress completamente aggiornati. Sembra che gli aggressori stiano utilizzando account di amministratore wp-admin compromessi (sia attraverso la forza bruta, la password o credenziali trapelate) e abusando della funzionalità di editor di file integrato per iniettare il malware.