La botnet che ha arruolato 20 mila siti Wordpress

I ricercatori di Wordfence hanno scoperto la campagna botnet che ha preso di mira i siti Worpdress con un attacco XML.
I ricercatori di Wordfence hanno scoperto la campagna botnet che ha preso di mira i siti Worpdress con un attacco XML.
Antonino Caffo
Pubblicato il 11 dic 2018
La botnet che ha arruolato 20 mila siti Wordpress

Gli utenti di WordPress si trovano ad affrontare una pesante falla di sicurezza, scovata dai ricercatori di Wordfence.  Si tratta di una botnet che, al momento, pare aver ingaggiato almeno 20 mila siti, infettati sfruttando un accesso forzato ai pannelli di amministrazione dei backend.

Stando a quanto comunicato dagli esperti, gli hacker stanno violando i siti per infettarne tanti altri, tramite una funzionalità nota come XML-RPC. Si tratta dell’interfaccia che consente a un software di effettuare richieste a un altro sito tramite procedure remote (RPC) in linguaggio di markup (XML). I programmi di blogging legittimi usano questa funzione per formattare i contenuti prima della pubblicazione. Inserendosi in tali trasmissioni, gli hacker possono forzare l’ottenimento di nomi utente e password da un portale, ottenendone l’accesso.

Una volta dentro, installano il virus per la

[!] Ci sono problemi con l’autore. Controllare il mapping sull’Author Manager

che trasforma la maggior parte dei blog in zombie che rispondono alle istruzioni dei bot tramite server C2 (command and control). Gli aggressori inviano le loro istruzioni dai server che comunicano tramite server proxy, scelti da quella che è un vasto database russo. Tre dei server C2 sono ospitati da HostSailor, di cui il giornalista di cybersecurity Brian Krebs ha parlato già in passato come compagnia dalla dubbia provenienza che gestisce anche VPN.

In che modo i proprietari dei siti possono proteggersi da questo tipo di attacco? Semplicemente attuando le migliori e più condivise pratiche di sicurezza informatica. Ad esempio con l’utilizzo di un accesso a doppia autenticazione oppure con la presenza di un antivirus che aggiorna, costantemente, la lista delle minacce più o meno conosciute, per bloccarle e metterle in quarantena.

Un’altra misura efficace consiste nel limitare l’accesso dell’account di admin a specifici indirizzi IP o ai client con certificati digitali. Al momento, gli hacker sembrano essere in modalità di creazione di

[!] Ci sono problemi con l’autore. Controllare il mapping sull’Author Manager

, lavorando esclusivamente per far crescere l’esercito; cosa ne faranno poi? È difficile dirlo ma Wordfence suggerisce che tra gli attacchi più popolari, sviluppati tramite gli usi impropri di WordPress, ci sono l’invio di spam, l’hosting di pagine di phishing e l’avvio di reindirizzamenti malevoli.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Ti consigliamo anche

AGCOM mette in guardia contro le truffe legate a Piracy Shield
Web e Social

AGCOM mette in guardia contro le truffe legate a Piracy Shield
WhatsApp introduce la possibilità di aggiungere un'email per una maggiore sicurezza
Web e Social

WhatsApp introduce la possibilità di aggiungere un'email per una maggiore sicurezza
WhatsApp lancia nuove funzioni per Canali e Stato nella tab Aggiornamenti
Web e Social

WhatsApp lancia nuove funzioni per Canali e Stato nella tab Aggiornamenti
Meta AI e il feed Discover: un problema di privacy per gli utenti
Web e Social

Meta AI e il feed Discover: un problema di privacy per gli utenti
Link copiato negli appunti