Attacchi massicci ai siti WordPress sfruttano il modulo Jetpack

Mag 24, 2018 Marco Schiaffino Attacchi, Malware, News, RSS 1

---

I pirati puntano a colpire gli account professionali WordPress.com e li sfruttano per infettare migliaia di siti con un plugin malevolo diffuso tramite Jetpack.

Non è una vulnerabilità, ma una nuova tecnica di attacco che potrebbe mettere a rischio migliaia di siti Internet gestiti attraverso WordPress. Secondo WordFence, infatti, ci sono già gruppi di cyber-criminali che la stanno sfruttando attivamente.

Ma di cosa si tratta e perché avrebbe effetti così devastanti? Per capirlo è necessario fare un passo indietro e concentrare l’attenzione sulla struttura stessa dell’ecosistema WordPress e su un particolare modulo chiamato Jetpack.

Pur essendo un progetto open source, WordPress ha una doppia natura. La più conosciuta è WordPress.org, che consente di creare e gestire in autonomia un sito Internet usando il popolare Content Management System. Esiste però anche una versione professionale, chiamata WordPress.com.

È gestito da Automattic, una società creata da uno dei co-fondatori di WordPress, che offre una versione “personalizzata” del CMS e vende piani di hosting per siti commerciali.

È stata proprio il gruppo di sviluppatori attivi all’interno di Automattic a creare Jetpack, un plugin inizialmente pensato per gestire gli analytics che poi si è evoluto in una sorta di “coltellino svizzero” per WordPress. Qualche anno fa, il plugin è stato messo a disposizione anche per gli utenti “free” di WordPress.org.

Una delle funzioni del plugin è quella che permette di collegare qualsiasi sito “free” a un account di WordPress.com per consentire all’amministratore di gestire tutti i siti più facilmente attraverso il sistema di controllo messo a disposizione dal servizio a pagamento. In pratica si tratta di un sistema centralizzato pensato per chi deve amministrare numerosi siti.

A quanto pare, però, rappresenta anche una vera manna per i pirati informatici, che hanno trovato in questo strumento un veicolo di attacco estremamente efficace.

Stando a quanto riportano i ricercatori, i cyber-criminali si stanno infatti impegnando attivamente per violare gli account WordPress.com e utilizzarli per diffondere un plugin malevolo su tutti i siti controllati da quell’account attraverso Jetpack.

Come specificano sulle pagine del sito di WordPress.org, gli attacchi non sono la conseguenza di una violazione dei sistemi di Automattic, ma vengono portati attraverso tecniche di brute forcing o tentativi di hackeraggio “manuali”, che utilizzano per esempio stock di password rubate e messe in vendita sul Dark Web.

Il plugin infetto, secondo i ricercatori di WordFence, è una variante di altri malware simili visti in precedenza e ha una particolarità: quando è attivo, non viene visualizzato nell’elenco dei plugin installati sul CMS. L’amministratore del sito, quindi, non ha chance di individuarlo con un semplice controllo “a vista”.

Il suo obiettivo è duplice. Per prima cosa crea delle backdoor nel sito che permettono ai pirati di avere un (ulteriore) accesso garantito come amministratori del sito.

Come secondo passaggio, inserisce all’interno di index.php una porzione di codice (opportunamente offuscata) che esegue un reindirizzamento dei visitatori su pagine Web controllate dai pirati informatici.

Il tutto avviene utilizzando un sistema che modifica gli indirizzi Internet dei siti di destinazione con una elevatissima frequenza (una volta al minuto) e impiegando un dominio come passaggio intermedio per rendere più difficile il tracciamento dei siti malevoli.

Le raccomandazioni dei ricercatori per bloccare il fenomeno sono rivolte agli utenti WordPress.com e, trattandosi in ogni caso di episodi di furto di account, sono sempre le solite: usare password complesse e attivare (se non lo si è già fatto) il sistema di autenticazione a due fattori.

---

• Automattic, Jetpack, Marco Schiaffino, Wordfence, WordPress

---

---