Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Non è un sito losco, non è un link sospetto. Eppure qualcosa non torna. Ti compare un CAPTCHA, sembra Cloudflare e sembra tutto regolare e invece no. È proprio lì che inizia il problema.
Negli ultimi mesi è emerso uno schema piuttosto inquietante: centinaia di siti WordPress legittimi sono stati compromessi e trasformati in strumenti per infettare i visitatori. E la cosa più fastidiosa? Molti di questi siti erano assolutamente affidabili.
L’attacco sfrutta una finta verifica CAPTCHA che imita Cloudflare. Nulla di particolarmente sofisticato all’apparenza, ma abbastanza credibile da convincere chiunque. E diciamolo: quante volte clicchiamo senza pensarci troppo?
Una volta interagito con il contenuto, parte una catena di infezione a più livelli. Tutto avviene in memoria, senza lasciare tracce evidenti sul disco. Questo rende inutile gran parte delle difese tradizionali.
I siti coinvolti non sono marginali. Parliamo di portali di notizie locali, aziende e perfino il sito di un candidato al Senato statunitense. Insomma, roba che normalmente considereresti sicura.
L’indagine è partita da un semplice comando PowerShell eseguito su una macchina compromessa. Da lì si è scoperto un meccanismo ben orchestrato: script offuscati, download di shellcode e iniezione nei processi di sistema.
Il malware viene caricato direttamente nella memoria usando tecniche note, come VirtualAlloc e CreateThread. Tradotto: niente file sospetti da analizzare facilmente. E poi arriva il carico finale. Negli ultimi mesi sono stati osservati diversi infostealer, tra cui una variante aggiornata di Vidar, un malware .NET ribattezzato Impure Stealer e un nuovo arrivato scritto in C++, chiamato VodkaStealer.
Tutti i siti compromessi avevano qualcosa in comune: utilizzavano WordPress. In molti casi, le interfacce di amministrazione erano esposte pubblicamente, dettaglio che potrebbe aver facilitato l’accesso agli attaccanti.
Non è stato individuato un singolo punto debole chiaro. Si parla di possibili plugin vulnerabili, credenziali rubate o attacchi a forza bruta. Insomma, un mix poco rassicurante.
Curioso anche il comportamento del codice malevolo: evita di mostrarsi agli amministratori del sito e ai bot di analisi, rendendo più difficile accorgersi dell’infezione.
La catena di attacco utilizza un loader open source chiamato Donut, impiegato due volte in sequenza. Una specie di “matrioska” del malware che carica se stessa. Il risultato finale? Furto di credenziali, dati dei browser, wallet digitali e informazioni di sistema. Alcuni malware arrivano persino a chiudere i browser attivi per accedere meglio ai dati.
E qui viene il bello… o il brutto.
Alcuni payload sono ancora acerbi, con errori evidenti nel codice. Questo suggerisce uno sviluppo rapido, forse persino improvvisato. Gli analisti di Rapid7 Labs hanno documentato l’intera operazione e pubblicato i dettagli tecnici completi.
Per la community di Red Hot Cyber, la fiducia cieca nei siti web è ormai un lusso che non possiamo permetterci. Anche infrastrutture legittime possono diventare armi.
Serve un cambio di mentalità, più attenzione e una difesa multilivello, perché oggi l’attacco non arriva dove te lo aspetti. Anzi, questo non avviene quasi mai.
