SoakSoak: un malware russo infetta oltre 100.000 siti WordPress

WordPress oggi è in pericolo: chi usa la piattaforma come CMS e ha installato il plugin Slider Revolution rischia di essere stato infettato dal malware russo SoakSoak.

sucuri-soaksoak



La piattaforma WordPress è sotto assedio da parte di un misterioso malware nato in Russia. Il nome che è stato affibbiato a questa minaccia è SoakSoak, e la sua strategia è quella di trasformare un blog WordPress in una sorta di rampa di lancio per codice malevolo che infetta i visitatori. Sono oltre 100.000 i siti soggetti a questo attacco, che è reso possibile da un bug presente in un plugin estremamente popolare: Slider Revolution, che consente la creazione di slideshow e caroselli di immagini.

Non si tratta di una vulnerabilità sconosciuta, peraltro. Già da settembre il team del plugin stava lavorando a un fix, ma i risultati sono tardati ad arrivare, e qualche cybercriminale russo ha deciso di usare la falla a proprio vantaggio, sviluppando SoakSoak. Vale la pena notare che se un blog è stato infettato, il plugin dovrà essere aggiornato per rimuovere la minaccia. Molti webmaster sono tutto meno che diligenti nell’aggiornare i plugin - e SoakSoak potrebbe restare in giro molto a lungo. Google sta già correndo ai ripari, bloccando i domini che sono stati compromessi per salvaguardare la sicurezza degli utenti, ma fino ad ora è fermo a quota 11.000. Ci sono forse anche 90.000 siti infetti ancora liberi di fare danni, un numero che è destinato ad aumentare. Sono oltre 70 milioni i siti che usano Wordpress come CMS.

L’agenzia privata di sicurezza informatica Sucuri è stata la prima a individuare SoakSoak nel suo “ambiente naturale”. Per il momento, però, le analisi forensi sulla natura del malware non hanno dato grossi risultati. Il codice di questo virus è offuscato e il cybercriminale responsabile sembra aver fatto parecchia attenzione ad evitare tracce. Le stringhe malevole vengono tuttavia interpretate dal browser di una vittima che procede a scaricare chissà quale payload. Sucuri ha messo a disposizione un semplice test online per rilevare se un sito è soggetto all'infezione di SoakSoak.

Furto di dati personali, erogazione e bombardamento di spam, appropriazione della banda di un utente - al momento ci sono solo ipotesi sul fine ultimo di SoakSoak. Solo una cosa è sicura: non è nulla di positivo.

Via | Sucuri Blog

  • shares
  • +1
  • Mail