Retargeting
Retargeting e remarketing: sono la stessa cosa?
22 Maggio 2019
Show all

WP-VCD: il malware numero 1 delle infezioni WordPress

WP-VCD Wordpress Malware

I ricercatori WordFence riferiscono una ripresa degli attacchi a WordPress che coinvolgono il malware backdoor WP-VCD. A partire da agosto di quest’anno nessun altro malware (con targeting WordPress) ha prodotto un tasso più elevato di nuove infezioni. Per chi volesse approfondire, WordFence ha rilasciato un apposito white paper.

Il malware, il cui scopo principale è quello di abilitare la SEO black hat e l’attività di malvertising, continua a diffondersi rapidamente da quando è stato segnalato per la prima volta nel febbraio 2017.

Secondo Mikey Veenstra di WordFence gli sviluppatori di siti Web che usano WordPress, in genere rimangono infetti da WP-VCD quando scaricano plugin o temi infetti da siti di terze parti (non ufficiali). Grazie alla facilità di indicizzazione, questi software piratati sono spesso reperibili su siti Web con un alto posizionamento nei termini di ricerca di Google, rendendoli quindi credibili agli occhi di utenti e amministratori WP in cerca di un plugin “economico”.

Una volta attivato, il malware esegue uno script di distribuzione che compromette il sito iniettando backdoor in temi già installati. Una particolarità di WP-VCD è che alla fine rimuove il proprio codice dal tema o dal plugin infetto, per nascondere meglio l’infezione e le prove del crimine.

La backdoor si basa su una solida infrastruttura C2 con più ridondanze e può propagarsi facilmente spostandosi all’interno di un ambiente di hosting, scansionando e infettando altri siti WordPress che condividono lo stesso ambiente. Alcune versioni del malware sono note per introdurre una seconda backdoor creando un account amministratore controllato dagli aggressori.

Gli aggressori traggono profitto da WP-VCD attraverso l’iniezione di codice malvertising che genera annunci pop-up, avvia reindirizzamenti pericolosi o apre nuove schede del browser che portano a contenuti a rischio. Nel frattempo, la manipolazione dei motori di ricerca, ottenuta tramite tecniche SEO black hat, porta le vittime più ignare verso altri siti di plugin dannosi. I componenti responsabili di tale funzionalità vengono scaricati nei siti WordPress infetti tramite il server C2 al momento della selezione.

If legitimate plugins purchased from known sites are vulnerable, you can imagine the hazards that come with obtaining a pirate copy from a rogue site for free. In fact, nothing is truly free“, ha dichiarato Mike Bittner, direttore associato della sicurezza digitale e delle operazioni di The Media Trust. “These sites ensnare website operators with pirate copies so they can compromise site users’ machines for theft or fraud“.

The security and privacy risks with legitimate plugins are high since too many have not been designed with strong defenses“, ha continuato Bittner. “The most potent defense for today’s site owners is to stay far left of any breaches by maintaining a mindset that anticipates risks at every turn. Carefully vet what is allowed to run on a website and continually monitor that site. Anything out of the ordinary will harm users or erode user experience.”

I consigli che vi diamo noi sono:

  • mantenete aggiornati WordPress e tutti i plugin
  • acquistate temi e plugin originali, possibilmente da vendor noti e certificati
  • avviate regolarmente scansioni server side alla ricerca di anomalia (almeno una volta alla settimana)
  • fate backup giornalieri con storico mensile
  • se possibile, acquistate servizi di hosting indipendenti: uno per ciascuna installazione WordPress

Nel malaugurato caso in cui vi siate imbattuti nel malware WP-VCD, potete seguire questa guida spep by step by MalCare e provare a ripulire il vostro sito WordPress in autonomia. Oppure potete contattare il nostro supporto tecnico e chiedere aiuto.