Negli ultimi tempi, i proprietari di siti web WordPress hanno dovuto affrontare una nuova minaccia: il malware Sign1.
Questo codice malevolo ha infettato oltre 39.000 siti web, causando non solo reindirizzamenti indesiderati ma anche l’apparizione di annunci popup invasivi.
Come agisce il malware Sign1
Il malware Sign1 si insinua nei siti WordPress attraverso widget HTML personalizzati e plugin legittimi, sfruttando le vulnerabilità esistenti.
“Utilizzando questo metodo, gli hacker infettano i siti Web senza inserire alcun codice dannoso nei file del server, consentendo al malware di rimanere inosservato per molto tempo, poiché è molto più comune per i fornitori di sicurezza scansionare i file dei siti Web alla ricerca di malware piuttosto che controllare nel database.“, commenta l’analista di sicurezza Ben Martin nel rapporto Sucuri.
Gli attaccanti utilizzano tecniche di attacco di forza bruta e sfruttano le falle dei plugin per iniettare script dannosi. Una volta all’interno del sistema, Sign1 opera in modo subdolo, generando URL dinamici che cambiano ogni 10 minuti per eludere i blocchi di sicurezza. I reindirizzamenti che si verificano vengono indirizzati verso domini VexTrio.
“Una delle cose più degne di nota di questo codice è che cerca specificamente se il visitatore proviene da uno dei siti Web principali come Google, Facebook, Yahoo, Instagram ecc. Se il referrer non corrisponde a questi siti principali, allora il il malware non verrà eseguito“, continua a spiegare Martin. Ciò potenzialmente consente agli aggressori di selezionare utenti specifici, provenienti da motori di ricerca e piattaforme di social media, ritenuti più suscettibili alle truffe.
Quali conseguenze
I visitatori dei siti compromessi vengono reindirizzati verso pagine di phishing o altri siti che distribuiscono malware. Inoltre, gli annunci popup generati da Sign1 possono indurre gli utenti a abilitare notifiche del browser che, a loro volta, diffondono pubblicità indesiderate.
Misure di prevenzione
Per contrastare questa minaccia, è fondamentale adottare misure preventive quali l’utilizzo di password complesse e l’aggiornamento costante dei plugin. È altresì consigliabile rimuovere i plugin non necessari, che potrebbero rappresentare una superficie di attacco aggiuntiva.
In conclusione, la campagna malware Sign1 rappresenta un campanello d’allarme per la sicurezza dei siti WordPress. È essenziale che gli amministratori di tali siti rimangano vigili e adottino pratiche di sicurezza informatica robuste per proteggere i propri utenti e le proprie risorse digitali.