Operation EvilTraffic, la campagna di malvertising che ha colpito circa 35.000 siti WordPress.

In questi giorni alcuni ricercatori del laboratorio di analisi malware Zlab di CSE Cybsec hanno scoperto una campagna di malvertising, (ovvero un tipo di pubblicità online usata per diffondere contenuti dannosi o fraudolenti), che avrebbe già compromesso circa 35.000 siti web. In pratica si tratta di una nuova minaccia chiamata "Operation EvilTraffic" e che sfrutta una vulnerabilità presente nei siti basati su WordPress per ridirigere gli utenti verso siti con contenuti pubblicitari e fraudolenti all'insaputa degli utenti stessi. Entrando un po' più nei dettagli, una volta che  l'utente che si collega ad un sito compromesso e clicca sulla pagina "infettata", viene inevitabilmente dirottato su siti pubblicitari o fraudolenti: alcuni di essi inviteranno ad installare software e strane estensioni per il browser, altri tenteranno di rubare dati personali, (tra cui e-mail, password, dati bancari ecc...), tramite alcune tecniche di phishing. Inoltre, come già anticipato, i siti che sono stati colpiti da questa campagna sono basati su versioni vulnerabili di WordPress, utilizzate per dirottare i visitatori verso altri domini che ospitano pagine con contenuti pubblicitari: di conseguenza, più visitatori cliccano sulle pagine e maggiori saranno gli introiti dei malintenzionati. Difatti, nonostante il picco di "infezioni" si è avuto tra la fine del 2017 e l'inizio del nuovo anno, i ricercatori di CSE Cybsec hanno fatto sapere che il ruolo di "punto di raccolta" sarebbe da attribuire ad un sito con 1.183.500 visitatori unici al giorno ed un guadagno giornaliero di circa 4.284 dollari. Al riguardo Antonio Pirozzi, direttore del Zlab, ha, infine, spiegato: "Ci troviamo di fronte ad una rete di grandi dimensioni, durante le nostre prime analisi, i siti web compromessi erano circa 35.000, attualmente invece ne contiamo poco più di 18.000 questo perché molti amministratori di siti hanno scoperto la falla e sono corsi ai ripari. Molti dei siti compromessi sono recentissimi: la campagna sembra essere iniziata ad Ottobre 2017 raggiungendo il picco tra Dicembre e Gennaio".