Oltre 1.000 siti web basati su WordPress sono stati infettati da un codice JavaScript di terze parti che inietta quattro backdoor separate.
"La creazione di quattro backdoor consente agli aggressori di avere più punti di rientro nel caso in cui uno venga individuato e rimosso", ha affermato mercoledì il ricercatore c/side Himanshu Anand in un'analisi.
È stato scoperto che il codice JavaScript dannoso è servito tramite cdn.csyndication[.]com. Al momento in cui scrivo, ben 908 siti web contengono riferimenti al dominio in questione.
Di seguito vengono spiegate le funzioni delle quattro backdoor:Backdoor 1, che carica e installa un falso plugin denominato "Ultra SEO Processor", che viene poi utilizzato per eseguire i comandi impartiti dall'aggressore
Backdoor 2, che inietta JavaScript dannoso in wp-config.php
Backdoor 3, che aggiunge una chiave SSH controllata dall'aggressore al file ~/.ssh/authorized_keys in modo da consentire l'accesso remoto persistente alla macchina
Backdoor 4, che è progettato per eseguire comandi remoti e recupera un altro payload da gsocket[.]io per aprire probabilmente una shell inversa
Per mitigare il rischio rappresentato dagli attacchi, si consiglia agli utenti di eliminare le chiavi SSH non autorizzate, di modificare le credenziali di amministratore di WordPress e di monitorare i registri di sistema per individuare attività sospette.
Questa novità arriva mentre la società di sicurezza informatica ha reso noto che un'altra campagna malware ha compromesso più di 35.000 siti web con JavaScript dannoso che "dirotta completamente la finestra del browser dell'utente" per reindirizzare i visitatori del sito a piattaforme di gioco d'azzardo in lingua cinese.
"Sembra che l'attacco abbia come obiettivo o origine regioni in cui il mandarino è diffuso e le landing page finali presentano contenuti sul gioco d'azzardo con il marchio 'Kaiyun'.
I reindirizzamenti avvengono tramite JavaScript ospitato su cinque domini diversi, che funge da caricatore per il payload principale responsabile dell'esecuzione dei reindirizzamenti:mlbetjs[.]com
ptfafajs[.]com
zuizhongjs[.]com
jbwzzzjs[.]com
jpbkte[.]com
I risultati seguono anche un nuovo rapporto di Group-IB su un threat actor soprannominato ScreamedJungle che inietta un codice JavaScript denominato Bablosoft JS nei siti web Magento compromessi per raccogliere le impronte digitali degli utenti in visita. Si ritiene che ad oggi siano stati colpiti più di 115 siti di e-commerce.
Lo script iniettato è "parte della suite Bablosoft BrowserAutomationStudio (BAS)", ha affermato l'azienda di Singapore , aggiungendo che "contiene diverse altre funzioni per raccogliere informazioni sul sistema e sul browser degli utenti che visitano il sito web compromesso".
Si dice che gli aggressori stiano sfruttando vulnerabilità note che interessano versioni vulnerabili di Magento (ad esempio, CVE-2024-34102 aka CosmicSting e CVE-2024-20720) per violare i siti web. L'attore della minaccia motivato finanziariamente è stato scoperto per la prima volta in natura a fine maggio 2024.
"Il browser fingerprinting è una potente tecnica comunemente usata dai siti web per tracciare le attività degli utenti e personalizzare le strategie di marketing", ha affermato Group-IB. "Tuttavia, queste informazioni vengono sfruttate anche dai criminali informatici per imitare il comportamento legittimo degli utenti, eludere le misure di sicurezza e condurre attività fraudolente".
Nessun commento:
Posta un commento