Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Mar 14, 2019 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS, Vulnerabilità 1
Il 30% dei siti Internet che visitiamo sul Web sono creati e gestiti con WordPress e, di conseguenza, non stupisce che il Content Management System “libero” per antonomasia sia uno dei bersagli preferiti dei pirati informatici.
Questa volta, però, la tecnica usata dai cyber-criminali per attaccare i siti WordPress è davvero intrigante. Stando a quanto riporta Wordfence, società di sicurezza specializzata nella protezione dei siti Internet WordPress, i pirati avrebbero trovato un modo davvero ingegnoso per sfruttare una vulnerabilità in un plugin dedicato all’e-commerce.
Il plugin in questione si chiama Abandoned Cart Lite For WooCommerce e ha uno scopo piuttosto particolare. La sua funzione, infatti, è quella di registrare il contenuto dei “carrelli abbandonati”, cioè degli acquisti che gli utenti intendevano fare ma a cui non hanno dato seguito completando l’acquisto.
Si tratta di informazioni che, per chi gestisce un sito di commercio elettronico, sono estremamente preziose e consentono di profilare i gusti dei visitatori consentendo di ottimizzare le scorte in magazzino o capire quali prodotti siano più graditi dai potenziali clienti.
Il plugin non impatta in alcun modo su elementi “esterni” del sito e crea una raccolta di dati che normalmente viene visualizzata dall’amministratore (o gli amministratori) del sito attraverso il back-end.
I pirati informatici, però, hanno trovato il modo di sfruttare alcuni bug del plugin per avviare l’esecuzione di codice in remoto attraverso un trucchetto davvero brillante.
I criminali, in pratica, selezionano una serie di prodotti a caso per l’acquisto e compilano i dati per fatturazione e consegna. Poi chiudono la finestra e, di conseguenza, l’ordine viene classificato come “abbandonato”.
Alcune di queste informazioni (come email e indirizzo di consegna) sono generati casualmente, ma i campi relativi al nome e cognome per la fatturazione contengono invece codice malevolo (un JavaScript) che viene registrato dal plugin.
Qual è il problema? In buona sostanza il fatto che quando questi campi vengono aperti dall’amministratore, il codice contenuto in quegli specifici campi non viene controllato in alcun modo e, di conseguenza, viene eseguito.
Negli attacchi rilevati da Wordfence, il codice in questione punta a un collegamento bit.ly che fa riferimento a un ulteriore JavaScript che scarica e installa due backdoor sul sito, creando un account con privilegi di amministratore.
Nello specifico, l’account faceva riferimento all’email woouser401a@mailinator.com e alla password K1YPRka7b0av1B. Da questo momento, i pirati informatici avevano accesso libero al sito.
La seconda backdoor viene inserita come “backup” di quella principale, usando una tecnica piuttosto bizzarra. Il codice veniva infatti inserito sostituendolo a un plugin disabilitato dal legittimo amministratore del sito. Questo rimane inattivo fino a quando non riceve un comando di attivazione inviato tramite una richiesta Web, che “scatta” solo se la backdoor principale viene disabilitata.
In seguito alla segnalazione di Wordfence, lo sviluppatore del plugin ha pubblicato un aggiornamento che corregge il bug e impedisce la catena di attacchi sui siti che usano Abandoned Cart Lite For WooCommerce.
Apr 22, 2024 0
Mar 07, 2024 0
Gen 31, 2024 0
Gen 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...
One thought on “Attacco ai siti WordPress sfrutta un plugin per l’e-commerce”