Alert CERT-PA: centinaia di domini .it WordPress compromessi diffondono malware

Molti ricercatori di sicurezza hanno segnalato una campagna di compromissione di domini WordPress: gli attaccanti ottengono il controllo di domini con il famoso CMS WordPress che fanno ancora uso di versioni obsolete del plugin "apikey".

La campagna in corso coinvolge migliaia di domini afferenti a più paesi, ma sono qualche centinaia quelli italiani compromessi, la quasi totalità di proprietà di soggetti privati. L'utente @blackorbird ha reso pubblica già agli inizi di Agosto la lista dei domini compromessi con questa campagna, aggiornata mano a mano: ad ora ammonta a circa 3200 domini. La lista completa, contenente anche i domini .it, è disponibile qui.

I domini compromessi distribuiscono sulle macchine degli ignari utenti il malware "gbot": gbot è un malware che opera su tutte le versioni del sistema operativo Windows, con funzionalità di backdoor e keylogging. Mira principalmente al furto di credenziali.

Copia sul sistema infetto le seguenti copie di se stesso:

%Windows%\WinUpdaterstd\svchost.exe
%User Temp%\WinUpdaterstd\svchost.exe
%User Temp%\winsvchost\svchost.exe
%Application Data%\nightupdate\svchost.exe
%Windows%\nightupdate\svchost.exe

Esegue anche alcune modifiche nel registro di sistema, al fine di garantirsi la persistenza.

Correre ai ripari
La campagna è attualmente in corso e si contano nuovi domini infetti ogni giorno. Il primo consiglio è quello di aggiornare immediatamente il proprio CMS e tutti i relativi plugin. In questo caso è urgente assicurarsi che il plugin apikey sia all'ultima versione.

L'altro consiglio utile è quello di non installare estensioni al di fuori di quelle offerte ufficialmente da WordPress.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy