Centinaia di siti Drupal trasformati in piattaforme per il mining di crittomonete

Drupal è il terzo CMS utilizzato al mondo per pubblicare e condividere contenuti online. Non vanta certamente le quote di mercato di WordPress e Joomla ma il 4,6% delle quote di mercato appannaggio di Drupal vale comunque circa 1 milione di siti web attivi e oltre 23 milioni di installazioni in tutto il mondo.

Nelle scorse settimane vi avevamo parlato di due pericolose vulnerabilità scoperte in Drupal: Tutti i siti web realizzati con Drupal sono gravemente a rischio: è Drupalgeddon2.

Dal momento che molti webmaster non hanno provveduto a installare gli aggiornamenti rilasciati da Drupal o ad adeguare la versione del CMS installata nel caso delle release più vecchie e ormai non più supportate, i loro siti web sono stati presi di mira installandovi codice capace di attivare il mining di crittomonete al momento della visita da parte degli utenti.

Uno degli attacchi più recenti è stato scoperto dal ricercatore statunitense Troy Mursch che si è accorto come centinaia di siti web basati su Drupal facciano scaricare dal browser codice JavaScript che impegna enormemente la CPU per minare monete virtuali e arricchire il portafoglio degli aggressori.

Come ha spiegato Mursch, il file che viene caricato sui siti web bersagliati dai criminali informatici si chiama jquery.once.js ed è il responsabile dell’attività di mining.

In questo foglio di calcolo Mursch ha annotato la lista dei siti web Drupal presi di mira dagli aggressori. Alcuni di essi sono italiani e spesso fanno capo a enti pubblici o realtà aziendali.

Appena qualche giorno fa, sui siti Drupal non aggiornati con le patch di sicurezza recentemente rilasciate, era stato rinvenuto un altro miner (file me0w.js) e in molti casi gli aggressori hanno installato una backdoor via PHP così da assicurarsi pieno controllo del sito vulnerabile anche nel caso in cui il webmaster provvedesse all’installazione degli aggiornamenti.