Il Malware Wordpress che attacca siti woocommerce

Avatar utente

Topic Author
ivan
Connesso: No
User theme: Light
Messaggi: 34
Iscritto il: ven apr 17, 2020 10:41 am
Località: Sondrio

Il Malware Wordpress che attacca siti woocommerce

Messaggio da ivan »

Immagine

Woocommerce è un noto plugin opensource che consente di configurare facilmente il negozio online di un attività. Con oltre 5 milioni di installazioni è frà le piu grandi piattaforme eccommerce ,motivo per cui è spesso preso di mira da hacker per trarne profitto mediante attacchi mirati che in quest'occasione contano per l’appunto sul fatto che il plugin è indubbiamente frà i piu utilizzati anche per l'estrema semplicità di utilizzo.

La campagna di attacchi in corso ai plugin di Wordpress utilizza codice dannoso allo scopo di identificare i siti woocommerce e quindi interrogare i dati ad esso correlati,lo ha rivelato la società di sicurezza web Sucuri.

Dopo lo sfruttamento iniziale un file dannoso viene iniettato nell ambiente hosting del sito,fornendo cosi agli aggressori la possibilità di mappare tutto ciò a cui le utenze hanno accesso,il malware è scritto in PHP e crea una serie di funzioni in cerca di altri siti web Wordpress connettendosi ai loro database avviando cosi un ampia raccolta dati intercettati da siti woocommerce.
Il file maligno avvia in modalità ricorsiva una ricerca in tutte le directory circostanti cercando wp-config.php ovunque e quindi la directory predefinita wp-content/plugin/woocommerce .
Se viene trovata la seconda directory,idati relativi a woocommerce dovrebbere essere archiviati $woo[].Il malware ha anche la capacità di estrarre dati di login da MySQL dai file wp-config.php e ovviamente utilizza le credenziali per accedere al database.
Il malware invia tre query al database per ottenere il numero degli ordini,eseguire una query sui dati delle righe per gli ordini nella tabella nei post degli ordini inseriti dopo 1 Marzo 2020 e per cercare nella tabella postmeta i dati relativi a ordini dopo il primo Marzo consentendo cosi agli aggressori di determinare se il negozio compromesso è attivo e se ha effettuato recenti transazioni.
Inoltre il malware installa 3 Backdoor fornendo all autore dell attacco le url .
Se le Backdoor venissero rimosse gli aggressori perderanno l’accesso ma avranno comunque i dati dei clienti (non quelle dei pagamenti) che possono comunque essere venduti come furto d’identità.
Una prima impressione dei ricercatori lo hanno analizzato è che il Malware è un chiaro esempio di come hacker possano abusare di accessi non autorizzati con grande abilità allo scopo di analizzare e rilevare nuovi targhet in ambienti hosting compromessi e il sospetto è ovviamente che si stiano già preparando a futuri attacchi a siti woocommerce infetti mediante le Backdoor già installate da Malware. :evil: :o