Una nuova backdoor si è camuffato da plugin di caching legittimo per colpire in WordPress. Così consente agli attori malevoli di creare un account amministratore, controllando l’attività del sito e dirottando i siti web.
“La capacità del malware di alterare i contenuti dei siti web, fornendo invece agli amministratori contenuti originali per ritardare la rilevazione, è particolarmente inquietante”, commenta Sandra Marsico, Customer Success Manager di Swascan: “La tattica dimostra una notevole sofisticazione da parte degli attaccanti nel rendere la compromissione ancora più difficile da individuare e affrontare”.
Ecco come proteggersi, dal momento che “nel 2023 si possono contare circa 810 milioni di siti web che utilizzano la tecnologia di Wordpress come CMS”, ricorda il team che gestisce il SOC di Axitea e “ciò lo rende un target estremamente appetibile per attori malevoli, soprattutto considerando la disponibilità di oltre 60.000 plugin liberamente utilizzabili per estendere le funzioni di un sito web”.
Indice degli argomenti
Backdoor di WordPress: quali rischi si corrono
Il malware è una backdoor con una serie di funzioni in grado di gestire i plugin e di nascondersi da quelli attivi sui siti web compromessi, sostituendo i contenuti o reindirizzando alcuni utenti verso posizioni dannose.
I metodi tipici per compromettere un sito web includono il furto di credenziali, la forzatura delle password o lo sfruttamento di una vulnerabilità in un plugin o in un tema esistente.
Ma “il report pubblicato da Wordfence non fa menzione di uno specifico vettore di attacco che spieghi come il malware abbia raggiunto il sito compromesso”, sottolineano gli specialisti del SOC di Axitea: tuttavia “le azioni che permette di eseguire e le capacità di evasione incluse ancora una volta dimostrano come gli attacchi moderni continuano a sviluppare livelli di sofisticazione sempre più importanti e complessi, dal metodo di compromissione fino all’evasione dagli occhi di un amministratore”.
Gli analisti di Defiant, i produttori del plugin di sicurezza Wordfence per WordPress, hanno scoperto il nuovo malware a luglio durante la pulizia di un sito web. Mettendo la backdoor sotto la lente, i ricercatori hanno osservato che si presentava “con un commento di apertura dall’aspetto professionale” per travestirsi da strumento di caching, in genere un aiuto a ridurre la pressione sul server, al fine di migliorare i tempi di caricamento delle pagine.
Caching Tool
Infatti “il malware mascherato da Caching Tool permetteva agli attaccanti di accedere come amministratori al back-end dei siti colpiti, prendendo così il controllo non soltanto dei contenuti esposti ma anche degli utenti, cancellando infine le tracce degli accessi”, conferma Alessandro Di Liberto: “Si tratta di una strategia di attacco silenziosa che compromette la privacy degli utenti ed il SEO, monetizzando illegalmente grazie a contenuti fraudolenti pubblicati nella totale inconsapevolezza del legittimo proprietario del sito”.
La decisione di imitare tale strumento sembra deliberata. Infatti garantisce che passi inosservato durante le ispezioni manuali. Inoltre, il plugin malevolo è impostato per autoescludersi dall’elenco dei “plugin attivi” come mezzo per eludere i controlli.
I dettagli
Il malware presenta le seguenti funzionalità: creazione di utenti (come il “superadmin” con password codificata e permessi di amministrazione, mentre una seconda funzione può rimuovere l’utente per cancellare le tracce dell’infezione); rilevamento dei bot; sostituzione dei contenuti; controllo dei plugin; invocazione remota.
Quando identifica i visitatori come bot (per esempio i crawler dei motori di ricerca), il malware serve loro contenuti diversi, come lo spam, inducendoli a indicizzare il sito compromesso alla ricerca di contenuti dannosi. In questo modo, gli amministratori potrebbero assistere a un improvviso aumento del traffico o a segnalazioni di utenti che si lamentano di essere stati reindirizzati verso posizioni malevoli.
Il malware può inoltre alterare i contenuti dei post e delle pagine e inserire link o pulsanti di spam. Gli amministratori dei siti web ricevono contenuti non modificati per ritardare la realizzazione della compromissione.
Gli operatori del malware possono anche attivare o disattivare da remoto plugin WordPress arbitrari sul sito compromesso. Inoltre, pulisce le sue tracce dal database del sito, in modo da tenere nascosta questa attività.
La backdoor controlla infine stringhe specifiche dell’agente utente, consentendo agli aggressori di attivare da remoto varie funzioni dannose.
Come mitigare il rischio derivante dalla backdoor in Wordpress
“I criminali informatici stanno costantemente affinando le loro tattiche per eludere le misure di sicurezza e compromettere siti web”, continua Marsico, “sistemi, reti aziendali, portando avanti minacce sempre più avanzate e difficili da rilevare”.
Defiant ha rilasciato una firma di rilevamento per gli utenti della versione gratuita di Wordfence e ha aggiunto una regola del firewall per proteggere gli utenti Premium, Care e Response dalla backdoor. Pertanto, i proprietari di siti web dovrebbero utilizzare credenziali forti e uniche per gli account di amministrazione, mantenere i plugin aggiornati e rimuovere i componenti aggiuntivi e gli utenti inutilizzati.
“Attacchi come questo malware camuffato da plugin utilitario ci ricordano dell’importanza di osservare sempre le best practice di sicurezza”, avverte il team che gestisce il SOC di Axitea, “dall’utilizzo di password complesse all’impegno di mantenere sempre aggiornate le tecnologie utilizzate, che sia per un importante sito di eCommerce o il blog personale di una qualunque persona”.
Adottare un approccio Zero-Trust è essenziale. Ma “l’approccio Zero-Trust”, avverte Alessandro Di Liberto, Swascan SOC Analyst, “non deve essere limitato soltanto agli utenti ma anche ai plug-in che interagiscono con i servizi esposti, il rischio di lasciare una backdoor aperta per i potenziali attaccanti è altissimo. Avere il pieno controllo e la consapevolezza dei plug-in, dei permessi e delle funzionalità diventa dunque una strategia di difesa fondamentale soprattutto in presenza di integrazioni di terze parti”.
La consulenza giusta aiuta
“Affidarsi ad esperti di sicurezza informatica“, evidenzia Marsico, “che con la loro esperienza e competenza siano in grado non solo di monitorare i sistemi ma di monitorare l’intera evoluzione delle minacce, identificare nuovi schemi di attacco e sviluppare strategie di protezione adeguate, diventa un bisogno sempre più pressante per le aziende che si vogliono proteggere, e vogliono proteggere i loro clienti, da danni, perdita di dati e compromissioni della sicurezza”.
Infatti “backdoor implementate da questi tipi di malware non sono semplici da rilevare per i non esperti, creando così importanti vulnerabilità che rimangono irrisolte per molto tempo”, conferma il SOC team di Axitea: “Dall’offuscazione del proprio codice a tecniche di evasione, come la capacità di creare e rimuovere a piacimento l’utenza amministrativa fittizia ‘superadmin’ o mostrare contenuti inalterati solo ai proprietari del sito web, i malware moderni sfuggono facilmente ad un occhio non esperto. Ed è per questo motivo che affidarsi ad attività di Red Teaming supporta l’analisi del proprio stato di sicurezza con un grado di approfondimento superiore, poiché permette di identificare più facilmente compromissioni di questo genere e fornire un’immagine complessiva della propria postura di sicurezza e capacità di incident response”.
