WordPress è probabilmente uno dei CMS più diffusi al mondo per la gestione di un sito web, in quanto di facile installazione e permette un ottimo grado di personalizzazione attraverso temi e plugin di ogni genere. Questa grande diffusione, però, può far gola agli hacker che vogliono sfruttare proprio questo CMS per eseguire attacchi su scala globale coinvolgendo il maggior numero di utenti.
Grazie ai ricercatori di sicurezza informatica di Sucuri, è stata individuata una pericolosa campagna malware che coinvolge siti web WordPress compromessi tramite appositi script che puntano a rubare la criptovaluta delle vittime. Quando le persone visitano questi siti compromessi, gli script visualizzano messaggi fuorvianti per convincere gli utenti a collegare i propri wallet al sito. Tuttavia, una volta fatto ciò, gli script rubano tutte le risorse contenute. Questo malware, noto come AngelDrainer, sfrutta inizialmente degli attacchi brute force per poter accedere a ulteriori siti web sfruttando una pagina web compromessa, inserendo codice dannoso nei modelli HTML. L’attacco avviene in maniera estremamente furtiva sfruttando un semplice file JSON che contiene una lunga lista di password con cui eseguire i tentativi di accesso.
Finché la pagina rimane aperta, lo script dannoso farà sì che il browser Web si ricolleghi ripetutamente al server dell’aggressore e recuperi una nuova attività da eseguire, impiegando l’interfaccia XMLRPC del sito WordPress.
Secondo il motore di ricerca del codice sorgente HTML PublicHTML, attualmente ci sono oltre 1.700 siti hackerati con questi script, che però potrebbe estendersi ancora di più in quanto ogni sito viene utilizzato per colpire ulteriori pagine. Un primo consiglio per evitare possibili attacchi o intrusioni è, innanzitutto, mantenere aggiornato WordPress all’ultima versione per avere sempre la maggior sicurezza sui propri domini. Successivamente, verificare se siano presenti file sospetti all’interno dei file di dominio (che un amministratore può vedere accedendo al pannello di controllo del proprio hosting).