![9 Utile comando "mv" in Linux con esempi](/f/f343d1459598091a2e4caaacf98db07d.png?width=100&height=100)
Sappiamo tutti molto bene che oggigiorno le minacce alla sicurezza sempre più frequenti sono diventate fenomeni comuni. Come abbiamo già visto, a metà dell'anno è stato rilevato un numero molto elevato di siti Web WordPress che contenevano malware in grado di estrarre criptovalute. Ora, secondo gli ultimi rapporti, più di 5.000 siti Web WordPress sono stati afflitti da Keylogger.
I componenti aggiuntivi sono sempre stati un problema per i siti web gestiti tramite questo CMS. A metà anno, è stato scoperto un numero molto elevato di siti Web WordPress che contenevano malware in grado di estrarre criptovalute. Tutto sembra indicare che questo virus informatico è mutato e ora è diventato un keylogger in grado di raccogliere le informazioni introdotte dai visitatori di questi siti Web infetti.
Per trovare la fonte di questa minaccia, dobbiamo tornare fino allo scorso aprile, quando i membri della società di sicurezza Sucuri hanno scoperto più di 5.500 siti Web che utilizzato questo CMS infetto da malware che era in grado di effettuare il mining di criptovalute, cosa che è sempre più diventata alla moda. Da allora sono stati molti i cambiamenti che la minaccia ha subito, soprattutto a livello di comportamento.
Inizialmente, utilizzava il file functions.php di WordPress per effettuare richieste contro un falso indirizzo Cloudflare per stabilire un WebSocket con l'aiuto di una libreria.
Quando gli esperti di sicurezza hanno analizzato per la prima volta la minaccia, il messaggio apparso durante il tentativo di accedere al falso dominio Cloudflare era "Questo server fa parte della rete di distribuzione Cloudflare". Tuttavia, questo messaggio è cambiato e ora puoi leggere "Questo server fa parte di un progetto di algoritmi di apprendimento automatico della scienza sperimentale".
Da aprile le cose sono cambiate. Il mining di criptovalute è scomparso (o almeno per il momento). Il funzionamento di questo malware è mutato in una forma di keylogger. Tutti gli spazi per inserire testo sul web sono stati modificati. Hanno aggiunto un gestore che invia le informazioni inserite all'indirizzo wss://cloudflare[.]solutions: 8085/. Questo keylogger è in grado di rubare le credenziali per accedere ai profili utente dei servizi web come WordPress stesso e non solo che anche la gestione del CMS è compromessa.
Dato che molti servizi sono collegati, è molto probabile che a un certo punto l'utente abbia inserito le credenziali dell'account su piattaforme come Twitter o Facebook. In questo caso, la necessità di cambiare la password è urgente. In caso contrario, gli account potrebbero essere utilizzati senza il consenso dell'utente.
Gli esperti di sicurezza hanno anche scoperto che è stato introdotto lo script CoinHive per eseguire l'estrazione di monete. Tuttavia, sembra che al momento non venga utilizzato.
Ovviamente una soluzione c'è, anche se non banale. Gli utenti che hanno un sito Web interessato devono cercare nel file functions.php la funzione add_js_scripts ed eseguirne l'eliminazione. Successivamente, dovrebbero cercare tutte le frasi in cui è menzionata la funzione cancellata e procedere alla sua cancellazione. In caso contrario, il caricamento degli elementi CMS non verrà eseguito correttamente.
Una volta terminato questo processo, si consiglia di modificare tutte le credenziali di accesso.
Allora, cosa ne pensi di questa falla di sicurezza? Condividi semplicemente tutte le tue opinioni e pensieri nella sezione commenti qui sotto.