Grazie al lavoro del ricercatore Denis Sinegubko è stata possibile individuare una enorme botnet che, giorno dopo giorno, sembra ingrandirsi sempre di più.
Stiamo parlando di una struttura che, a poche ore fa, includeva più di 700 siti Web realizzati con il CMS WordPress, con un numero non quantificabile di utenti potenzialmente a rischio. Come spiegato dallo stesso Sinegubko, lo stesso traffico sui siti Web compromessi viene sfruttato per forzarne altri.
Le piattaforme compromesse, a quanto pare, utilizzano comandi in JavaScript. Si tratta di una porzione di codice minuscola (solo 3 kilobit) attraverso cui i cybercriminali cercano di diffondere la loro attività su altri siti Web. Il codice, oltre a tentare di forzare il nome utente del sito, prova ad abbinare allo stesso 100 password comuni per “scardinare” i siti WordPress.
Centinaia di siti WordPress compromessi attraverso un vero e proprio “effetto valanga”
Il ricercatore ha spiegato nel dettaglio come agiscono i cybercriminali, descrivendo nei dettagli il processo di diffusione del codice malevolo e il reclutamento di nuovi siti per la botnet:
- Nella prima fase, i cybercriminali ottengono gli URL dei siti WordPress da attaccare attraverso sistemi di scansionamento, motori di ricerca o banche dati;
- La seconda fase prevede la ricerca delle credenziali sugli stessi, forzando l’ingresso nel pannello di amministrazione;
- A questo punto, i criminali informatici inseriscono lo script dannoso sul sito;
- Con il sito compromesso a tutti gli effetti, lo script viene scaricato dai visitatori e si installa nel browser degli stessi;
- Infine, il codice malevolo va a sua volta va a cercare nuovi potenziali siti in cui installarsi.
Secondo quanto riportato da Sinegubko, i numeri di questo meccanismo sono enormi. Il ricercatore parla infatti di “Decine di migliaia di richieste” che, nonostante un numero enorme di errori 404, vede comunque uno 0,5% di tentativi che hanno successo, con un meccanismo che si ripete per ingrandire sempre più la botnet.
Una sorta di “effetto valanga” difficile da arginare. Secondo Sinegubko, in attesa di un’adeguata patch correttiva per WordPress e/o per i principali browser in circolazione, per prevenire eventuali infezioni può essere utile l’app NoScript, anche se questa non è di facile utilizzo e dunque consigliata solo a utenti particolarmente esperti.