Oltre 1.000 siti web alimentati da WordPress sono stati infettati da un codice JavaScript di terze parti che inietta quattro backdoor separate. “Creare quattro backdoor facilita agli attaccanti avere più punti di rientro nel caso in cui una venga rilevata e rimossa”, ha affermato il ricercatore di c/side Himanshu Anand in un’analisi di mercoledì.
Il codice JavaScript dannoso è stato trovato servito tramite cdn.csyndication[.]com. Al momento della scrittura, ben 908 siti web contengono riferimenti al dominio in questione.
Funzioni delle quattro backdoor
Backdoor 1: carica e installa un plugin falso chiamato “Ultra SEO Processor”, utilizzato per eseguire comandi emessi dagli attaccanti.
Backdoor 2: inietta JavaScript dannoso nel file wp-config.php.
Backdoor 3: aggiunge una chiave SSH controllata dall’attaccante al file ~/.ssh/authorized_keys per consentire l’accesso remoto persistente alla macchina.
Backdoor 4: progettata per eseguire comandi remoti e recupera un altro payload da gsocket[.]io per probabilmente aprire una shell inversa.
Per mitigare il rischio posto dagli attacchi, si consiglia agli utenti di eliminare le chiavi SSH non autorizzate, ruotare le credenziali di amministrazione di WordPress e monitorare i log di sistema per attività sospette.
Campagna malware su larga scala
Lo sviluppo arriva mentre la società di cybersecurity ha dettagliato un’altra campagna malware che ha compromesso oltre 35.000 siti web con JavaScript dannoso che “dirotta completamente la finestra del browser dell’utente” per reindirizzare i visitatori del sito a piattaforme di gioco d’azzardo in lingua cinese.
“L’attacco sembra mirare o provenire da regioni dove il mandarino è comune, e le pagine di destinazione finali presentano contenuti di gioco sotto il marchio ‘Kaiyun’.
I reindirizzamenti avvengono tramite JavaScript ospitato su cinque diversi domini, che funge da loader per il payload principale responsabile dei reindirizzamenti:
- mlbetjs[.]com
- ptfafajs[.]com
- zuizhongjs[.]com
- jbwzzzjs[.]com
- jpbkte[.]com
Minaccia ScreamedJungle
I risultati seguono anche un nuovo rapporto di Group-IB su un attore di minacce soprannominato ScreamedJungle che inietta un codice JavaScript chiamato Bablosoft JS nei siti Magento compromessi per raccogliere impronte digitali degli utenti in visita. Si ritiene che più di 115 siti di e-commerce siano stati colpiti fino ad oggi.
Lo script iniettato fa parte della suite Bablosoft BrowserAutomationStudio (BAS), ha affermato la società di Singapore, aggiungendo che “contiene diverse altre funzioni per raccogliere informazioni sul sistema e sul browser degli utenti che visitano il sito compromesso”.
Si dice che gli attaccanti stiano sfruttando vulnerabilità note che colpiscono le versioni vulnerabili di Magento (ad esempio, CVE-2024-34102 alias CosmicSting e CVE-2024-20720) per violare i siti web. L’attore di minacce motivato finanziariamente è stato scoperto per la prima volta in natura a fine maggio 2024.
“Il fingerprinting del browser è una tecnica potente comunemente utilizzata dai siti web per tracciare le attività degli utenti e adattare le strategie di marketing”, ha affermato Group-IB. “Tuttavia, queste informazioni sono anche sfruttate dai criminali informatici per imitare il comportamento degli utenti legittimi, eludere le misure di sicurezza e compiere attacchi mirati.”
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
