Di recente oltre 11.000 domini sono stati inseriti nella "blacklist" da Google, in seguito alla scoperta di un vasto attacco malware contro circa 100.000 siti web basati su WordPress, la popolare piattaforma di "personal publishing" e content management system. In pratica dopo un'accurata indagine, i ricercatori di sicurezza di Sucuri sono riusciti a scoprire che la causa di questo attacco risiede nel plugin Slider Revolution, (utilizzato dagli utenti per la creazione di gallerie fotografiche), all'interno del quale si nasconde, appunto, un virus a cui è stato assegnato il nome SoakSoak, in quanto i visitatori dei siti infetti vengono redirezionati all'indirizzo soaksoak.ru. In sostanza circa tre mesi fa Sucuri aveva scoperto una grave vulnerabilità presente nel suddetto plugin e prontamente ThemePunch, (responsabile di Slider Revolution e molti altri plugin), aveva rilasciato un aggiornamento per risolverla. Tuttavia molti webmaster non hanno installato la nuova versione, (molto probabilmente in quanto il plugin è a pagamento), che includeva anche un sistema di auto-update. Inoltre alcuni gestori dei siti non sanno che la patch di Slider Revolution, incluso e distribuito automaticamente in alcuni temi, deve essere installata manualmente. Ad ogni modo, entrando un po' più nel dettaglio, per mettere a segno l'attacco i cybercriminali effettuano una scansione remota del sito per cercare il file revicons.eot ed, in caso di risposta positiva, tentano di caricare sul server un tema infetto: se il tutto ha successo, viene installata la backdoor Filesman che permette di accedere a tutti i file del sito. A questo punto viene modificato il file wp-includes/template-loader.php, aggiungendo una funzione che esegue una versione infetta dello script swfobject.js, il quale a sua volta scarica il malware dal sito soaksoak.ru. Comunque sia teoricamente sarebbe sufficiente sostituire i file suddetti con versioni "pulite", ma in questo caso SoakSoak verrebbe nuovamente scaricato, in quanto non sono state eliminate le backdoor. Quindi per ripulire completamente il sito sarebbe necessario utilizzare un firewall che blocca il download da remoto e tenere aggiornato il plugin in questione. In ogni caso per chiunque possieda un sito basato su WordPress, utilizzi il plugin Slider Revolution e fosse preoccupato per un'eventuale attacco, Sucuri ha, infine, realizzato anche un apposito tool che permette di verificare la presenza sul proprio sito del malware SoakSoak.
Di recente oltre 11.000 domini sono stati inseriti nella "blacklist" da Google, in seguito alla scoperta di un vasto attacco malware contro circa 100.000 siti web basati su WordPress, la popolare piattaforma di "personal publishing" e content management system. In pratica dopo un'accurata indagine, i ricercatori di sicurezza di Sucuri sono riusciti a scoprire che la causa di questo attacco risiede nel plugin Slider Revolution, (utilizzato dagli utenti per la creazione di gallerie fotografiche), all'interno del quale si nasconde, appunto, un virus a cui è stato assegnato il nome SoakSoak, in quanto i visitatori dei siti infetti vengono redirezionati all'indirizzo soaksoak.ru. In sostanza circa tre mesi fa Sucuri aveva scoperto una grave vulnerabilità presente nel suddetto plugin e prontamente ThemePunch, (responsabile di Slider Revolution e molti altri plugin), aveva rilasciato un aggiornamento per risolverla. Tuttavia molti webmaster non hanno installato la nuova versione, (molto probabilmente in quanto il plugin è a pagamento), che includeva anche un sistema di auto-update. Inoltre alcuni gestori dei siti non sanno che la patch di Slider Revolution, incluso e distribuito automaticamente in alcuni temi, deve essere installata manualmente. Ad ogni modo, entrando un po' più nel dettaglio, per mettere a segno l'attacco i cybercriminali effettuano una scansione remota del sito per cercare il file revicons.eot ed, in caso di risposta positiva, tentano di caricare sul server un tema infetto: se il tutto ha successo, viene installata la backdoor Filesman che permette di accedere a tutti i file del sito. A questo punto viene modificato il file wp-includes/template-loader.php, aggiungendo una funzione che esegue una versione infetta dello script swfobject.js, il quale a sua volta scarica il malware dal sito soaksoak.ru. Comunque sia teoricamente sarebbe sufficiente sostituire i file suddetti con versioni "pulite", ma in questo caso SoakSoak verrebbe nuovamente scaricato, in quanto non sono state eliminate le backdoor. Quindi per ripulire completamente il sito sarebbe necessario utilizzare un firewall che blocca il download da remoto e tenere aggiornato il plugin in questione. In ogni caso per chiunque possieda un sito basato su WordPress, utilizzi il plugin Slider Revolution e fosse preoccupato per un'eventuale attacco, Sucuri ha, infine, realizzato anche un apposito tool che permette di verificare la presenza sul proprio sito del malware SoakSoak.
Commenti
Posta un commento