Campagna Phishing: aggiornamento database WordPress
Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)
Contattaci
chiama 339 848 3250
Recentemente si sono verificate notifiche di e-mail di phishing indirizzate a utenti WordPress. Il contenuto informa i proprietari del sito che il loro database richiede un aggiornamento e assomiglia a questo messaggio:

L’aspetto dell’email è simile a quello di un messaggio di aggiornamento legittimo di WordPress, tuttavia il contenuto include errori di battitura e utilizza uno stile di messaggistica meno recente. Un altro elemento sospetto nel contenuto è la scadenza temporale. WordPress non definirebbe le scadenze senza una spiegazione valida e nemmeno i fornitori di hosting (se si riteneva che l’e-mail provenisse da loro). L’uso di timestamp in un formato europeo (25/08/2018) può essere un altro segno sospetto, per coloro che risiedono negli Stati Uniti.
Il piè di pagina delle e-mail riproduce quello utilizzato da Automattic (la società madre di WordPress.com, Jetpack, WooCommerce), ma il collegamento rimanda anche a una pagina di phishing su un diverso sito Web compromesso (che si trova di nuovo nella sottodirectory / so / ).

Falso aggiornamento
Se fai clic sul pulsante “Aggiorna“, viene visualizzata una pagina di accesso di WordPress falsa pronta per raccogliere le tue credenziali. Quella pagina è stata creata su un sito Web compromesso ma legittimo. In un campione, si trovava nella sottodirectory / lop / e in un altro caso era nella sottodirectory / so /.
Dopo aver inserito le tue credenziali e aver fatto clic sul pulsante “Accedi“, verrà visualizzata la seguente schermata che richiede l’indirizzo e il nome utente del tuo sito. Questo è sospetto perché non ha senso, un utente avrà già inserito le proprie credenziali nel passaggio precedente. Inoltre, non è del tutto chiaro se desiderano reinserire le credenziali di WordPress o se cercano il nome utente del database.
Facendo clic sul pulsante “Aggiorna database WordPress” si completa il passaggio finale dell’attacco e si inviano le credenziali e l’indirizzo del sito web agli aggressori.

Pagina di aggiornamento del phishing del database
Questo spiega come i gestori del malware stanno ottenendo gli indirizzi del sito associandoli con le credenziali rubate.
Intestazioni
Le intestazioni delle e-mail di phishing hanno mostrato che provenivano da un sito compromesso sul server 47.49.12.164 (webserver2 . ncswi . com). Il nome dello script mailer malevolo è piuttosto generico e può anche essere trovato nelle intestazioni: qui puoi trovare alcuni suggerimenti sull’analisi dell’intestazione:
X-PHP-Originating-Script: 48: mailer-1.php
Troviamo diversi script di mailer con questo nome su siti compromessi.
L’hacking di un sito per inviare spam e-mail dal suo server è abbastanza comune. I provider di hosting di solito sospendono tali siti compromessi perché non vogliono che gli IP del loro server siano inseriti in blacklist anti-spam.
Ciò evidenzia l’importanza di identificare e ripulire un sito compromesso prima che venga sospeso dal tuo host.
Precauzioni
Anche se il software del sito è aggiornato e completamente rattoppato, gli hacker potrebbero essere ancora in grado di introdursi se gli dai le tue credenziali. Gli attacchi di phishing contro CMS comuni spesso cercano di ingannare i webmaster nell’aprire una pagina web che assomigli a una pagina di accesso standard e digitare le loro credenziali lì senza verificare l’indirizzo della pagina.
Nel caso precedente, gli aggressori hanno utilizzato un mailer su un sito Web compromesso come meccanismo di consegna per inviare la loro campagna di e-mail di phishing e raccogliere le credenziali di altri utenti di WordPress.
Una volta che un utente malintenzionato ottiene le credenziali di un sito Web attraverso questa campagna, è quindi in grado di caricare backdoor, cambiare il contenuto del sito o utilizzare il sito Web per offrire malware. Ciò può portare all’inserimento in black list e influire in modo significativo sul traffico e sulla reputazione del tuo sito.
Le e-mail di phishing sono facili da rilevare se usi il buon senso e segui alcune semplici regole:
- Non fidarti mai di un’email che ti chiede di eseguire un’azione che non hai richiesto, specialmente se non hai ricevuto questo tipo di email prima
- Verifica che il mittente corrisponda al contenuto nell’email
- Controlla il contenuto per errori di battitura o scarsa formattazione
- Ispeziona gli URL per nomi di dominio legittimi
Mitigazione per i siti che distribuiscono spam
I mailer sono una categoria di script che i malintenzionati installano per distribuire email di spam e campagne di phishing. Questi script abusano delle risorse di un server per inviare e-mail in batch di grandi dimensioni, possono variare nei livelli di sofisticazione e si trovano su circa il 19% di tutti i siti Web compromessi.
Gli script di mailing semplici possono essere identificati se si esegue la scansione dei file per le funzioni mail (). Variazioni più complesse possono utilizzare funzioni e occultamenti alternativi, quindi è sempre consigliabile eseguire una scansione completa anti malware se si sospetta che il proprio sito stia inviando email di spam.
Il monitoraggio dell’integrità aiuterà anche a trovare qualsiasi file nuovo o modificato. Anche la scansione di backdoor è una buona idea, poiché questi sono comunemente installati per consentire di riottenere l’accesso al tuo sito. Puoi seguire la nostra guida con istruzioni dettagliate su come rimuovere malware e backdoor indesiderati dal tuo sito web.
Se ritieni che il tuo sito stia distribuendo spam indesiderati o e-mail di phishing e hai bisogno di una mano per ripulirlo, possiamo aiutarti a sbarazzarti di malware e ad rendere più sicuro il tuo sito web.
Lascia un commento