Un malware ha compromesso 35 mila siti Wordpress, anche italiani

I ricercatori del CSE Cybsec hanno individuato una campagna di malvertising che avrebbe compromesso già 35 mila siti Wordpress, anche italiani. A scoprire il malware sono stati gli esperti del laboratorio di analisi malware Zlab, che fa parte del CSE Cybsec. Il malvertising è un tipo di pubblicità online usata per diffondere contenuti dannosi o fraudolenti e la nuova minaccia, che ha raggiunto il picco a cavallo tra il 2017 e il nuovo anno, è stata chiamata ‘Operation EvilTraffic’.

La campagna sfrutta la vulnerabilità dei siti basati su WordPress per ridirigere gli utenti verso siti con contenuti pubblicitari e fraudolenti all’insaputa degli utenti stessi. Chi si collega al sito compromesso, tramite il suo browser, e clicca sulla pagina ‘infettata’, viene dirottato su siti che invitano a installare software ed estensioni per il browser, o che tentano tramite tecniche di phishing di rubare dati personali, anche quelli bancari.

Una rete di grandi dimensioni

“Ci troviamo di fronte ad una rete di grandi dimensioni - ha spiegato Antonio Pirozzi, direttore di Zlab - durante le nostre prime analisi, i siti web compromessi erano circa 35 mila, attualmente invece ne contiamo poco più di 18 mila, questo perché molti sysadmin hanno scoperto il breach e sono corsi ai ripari. Molti dei siti compromessi sono recentissimi, stiamo parlando di pochi giorni fa dalla pubblicazione del nostro report. La campagna sembra essere iniziata ad ottobre 2017 raggiungendo il picco tra dicembre e gennaio”.

Tutti i siti coinvolti nella campagna di malvertising sono basati su versioni di Wordpress vulnerabili. Più visitatori accedono a queste pagine, maggiori sono gli introiti dei malfattori, che in questo modo dispongono di decine di migliaia di siti per veicolare traffico verso domini con contenuti pubblicitari. Uno solo dei siti che funge da perno dell’operazione, hitcpm.com, registra 1,183,500 visitatori unici al giorno con un guadagno giornaliero di 4 mila dollari.