Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Attacco ai siti WordPress sfrutta un plugin per l’e-commerce
Una tecnica di attacco geniale permette ai pirati informatici di forzare l’installazione di due backdoor e prendere il controllo del sito.
Il 30% dei siti Internet che visitiamo sul Web sono creati e gestiti con WordPress e, di conseguenza, non stupisce che il Content Management System “libero” per antonomasia sia uno dei bersagli preferiti dei pirati informatici.
Questa volta, però, la tecnica usata dai cyber-criminali per attaccare i siti WordPress è davvero intrigante. Stando a quanto riporta Wordfence, società di sicurezza specializzata nella protezione dei siti Internet WordPress, i pirati avrebbero trovato un modo davvero ingegnoso per sfruttare una vulnerabilità in un plugin dedicato all’e-commerce.
Il plugin in questione si chiama Abandoned Cart Lite For WooCommerce e ha uno scopo piuttosto particolare. La sua funzione, infatti, è quella di registrare il contenuto dei “carrelli abbandonati”, cioè degli acquisti che gli utenti intendevano fare ma a cui non hanno dato seguito completando l’acquisto.
Si tratta di informazioni che, per chi gestisce un sito di commercio elettronico, sono estremamente preziose e consentono di profilare i gusti dei visitatori consentendo di ottimizzare le scorte in magazzino o capire quali prodotti siano più graditi dai potenziali clienti.
Il plugin non impatta in alcun modo su elementi “esterni” del sito e crea una raccolta di dati che normalmente viene visualizzata dall’amministratore (o gli amministratori) del sito attraverso il back-end.
I pirati informatici, però, hanno trovato il modo di sfruttare alcuni bug del plugin per avviare l’esecuzione di codice in remoto attraverso un trucchetto davvero brillante.
I criminali, in pratica, selezionano una serie di prodotti a caso per l’acquisto e compilano i dati per fatturazione e consegna. Poi chiudono la finestra e, di conseguenza, l’ordine viene classificato come “abbandonato”.
Alcune di queste informazioni (come email e indirizzo di consegna) sono generati casualmente, ma i campi relativi al nome e cognome per la fatturazione contengono invece codice malevolo (un JavaScript) che viene registrato dal plugin.
Qual è il problema? In buona sostanza il fatto che quando questi campi vengono aperti dall’amministratore, il codice contenuto in quegli specifici campi non viene controllato in alcun modo e, di conseguenza, viene eseguito.
Negli attacchi rilevati da Wordfence, il codice in questione punta a un collegamento bit.ly che fa riferimento a un ulteriore JavaScript che scarica e installa due backdoor sul sito, creando un account con privilegi di amministratore.
Nello specifico, l’account faceva riferimento all’email woouser401a@mailinator.com e alla password K1YPRka7b0av1B. Da questo momento, i pirati informatici avevano accesso libero al sito.
La seconda backdoor viene inserita come “backup” di quella principale, usando una tecnica piuttosto bizzarra. Il codice veniva infatti inserito sostituendolo a un plugin disabilitato dal legittimo amministratore del sito. Questo rimane inattivo fino a quando non riceve un comando di attivazione inviato tramite una richiesta Web, che “scatta” solo se la backdoor principale viene disabilitata.
In seguito alla segnalazione di Wordfence, lo sviluppatore del plugin ha pubblicato un aggiornamento che corregge il bug e impedisce la catena di attacchi sui siti che usano Abandoned Cart Lite For WooCommerce.
Condividi l'articolo
Pirati fanno strage di account Office 365 e G Suite attaccando IMAP
Migliaia di documenti sensibili accessibili a tutti su Box
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
One thought on “Attacco ai siti WordPress sfrutta un plugin per l’e-commerce”