Questo malware attacca il tuo sito WordPress studiando la SEO su Google

Questo malware attacca il tuo sito WordPress studiando la SEO su Google

WordPress è uno dei migliori CMS open source che c’è in circolazione, grazie al quale è possibile creare e distribuire un sito Internet sul Web e gestire in maniera dinamica i contenuti sia testuali che multimediali; inoltre, per chi non è sicuro al 100%, c’è la possibilità di creare un blog gratuitamente e capire meglio come funziona la piattaforma. 

Chiunque gestisca un’attività online deve fare sempre attenzione a possibili attacchi informatici che, tra l’altro, stanno aumentando sempre di più e stanno trovando nuovi modi per nascondersi efficacemente. A tal proposito, è stato individuato un malware chiamato SolarMarker che utilizza una tecnica chiamata “avvelenamento SEO” per indirizzare payload dannosi nei sistemi delle vittime e poter guadagnarsi l’accesso alle credenziali ed ai dati contenuti all’interno dei loro dispositivi. I produttori di SolarMaker, per alcuni anche noto come Jupyter, utilizzano il RAT (Remote Access Trojan) che è stato collegato anche ad altre violazioni a riprova del suo crescente utilizzo.

In un post sul blog su Menlo Labs sta scritto: “Oltre a SolarMarker, il team di Menlo Labs ha visto un aumento degli attacchi progettati per colpire gli utenti, anziché le organizzazioni, aggirando le tradizionali misure di sicurezza” e ancora “Questi tipi di attacchi altamente evasivi sono stati visti prima, ma la velocità, il volume e la complessità di questa nuova ondata sono aumentati negli ultimi mesi”. Hanno poi aggiunto: “In questi attacchi, gli attori delle minacce sfruttano i progressi nei browser Web e nelle funzionalità dei browser a loro vantaggio per fornire ransomware, rubare credenziali e rilasciare malware direttamente sui loro obiettivi”.

Dunque, i criminali informatici utilizzano la tecnica di avvelenamento SEO per immettere nei loro siti Web dannosi o ingannevoli parole chiave che gli utenti potrebbero cercare, aumentando così il ranking delle loro pagine compromesse ed avere maggiori probabilità che gli utenti facciano clic su di esse. Gli utenti che utilizzano le keywords immesse dagli hacker potrebbero, dunque, imbattersi in un sito Web compromesso che include PDF dannosi; selezionando tali PDF il payload dannoso viene scaricato sull’endpoint dell’utente. A questo punto gli hacker sono in grado di rubare dati e credenziali delle vittime per inviarli ad un server di comando e controllo

È importante che coloro che si servono di WordPress per la creazione e la gestione dei propri siti Web facciano molta attenzione poiché la maggior parte dei siti compromessi erano proprio WordPress, all’interno dei quali si trovavano i PDF dannosi immessi dagli hacker e le relative parole chiave per essere più facilmente trovati.