Clipsa il malware che tenta di carpire le credenziali amministrative di WordPress

12/08/2019

malware Vulnerabilità wordpress

Dalle attività monitoraggio emerge che i ricercatori di AVAST hanno individuato un malware multiuso, denominato Clipsa, in grado di catturare password.

Stando alle analisi svolte dai ricercatori si apprende che Clipsa, scritto in Visual basic, è specializzato per la cattura di credenziali e criptovalute e viene utilizzando per lanciare attacchi di forza bruta acquisendo credenziali amministrative di siti WordPress non sicuri.

Questa la lista nota utilizzata dal malware per condurre l’attacco:

Clipsa si diffonde tramite file eseguibili, probabilmente mascherati da software di uso comune come pacchetti di codec per lettori multimediali tipo: Ultra XVid Codec Pack.exe o Installer_x86-x64_89006.exe.

Una volta infettato un sistema, il malware può eseguire svariate azioni come cercare e rubare file “wallet.dat” e installare un miner di criptovaluta. Altra funzionalità è la ricerca sul pc della vittima di indirizzi “cryptowallet,” ovvero quella “posizione” specifica sulla blockchain a cui è possibile inviare monete, lo scopo del malware è di sostituire gli indirizzi con quelli di proprietà dei criminali che operano dietro Clipsa. Inoltre il malware utilizza gli stessi sistemi infettati per ricercare, tramite scansioni su Internet, siti WordPress vulnerabili. Una volta identificato Clipsa tenta di forzare l’accesso al sito inviando le credenziali valide ai server C&C. Non è ancora chiaro se gli autori rubino ulteriori dati dai siti violati ma si sospetta che i siti infetti vengano riutilizzati come server C&C secondari da dedicare ad altri scopi.

Uno dei paesi maggiormente colpiti da Clipsa è l’India, seguito dalle Filippine e dal Brasile. In Europa sono state rilevate infezioni anche in Spagna e in Italia. La mappa seguente illustra i paesi che Clipsa ha preso di mira dall’agosto 2018 a luglio 2019:

Meccanismo di contatto verso i Server C&C

Clipsa utilizza un meccanismo di contatto verso i C&C abbastanza inusuale, adotta infatti la tecnica di contattare singolarmente gli indirizzi che detiene in memoria e di utilizzare quello corretto solo a fronte di una determinata risposta. Questo server sarà poi quello utilizzato dal malware per condurre le attività per cui è stato realizzato. Quasi ogni campione di Clipsa ingloba un set differente di indirizzi server di comando e controllo, di seguito quelli emersi dalle analisi:

  • http[:]//besttipsfor[.]com
  • http[:]//chila[.]store
  • http[:]//globaleventscrc[.]com
  • http[:]//ionix[.]co[.]id
  • http[:]//mahmya[.]com
  • http[:]//mohanchandran[.]com
  • http[:]//mutolarahsap[.]com
  • http[:]//northkabbadi[.]com
  • http[:]//poly[.]ufxtools[.]com
  • http[:]//raiz[.]ec
  • http[:]//rhsgroup[.]ma
  • http[:]//robinhurtnamibia[.]com
  • http[:]//sloneczna10tka[.]pl
  • http[:]//stepinwatchcenter[.]se
  • http[:]//topfinsignals[.]com
  • http[:]//tripindiabycar[.]com
  • http[:]//videotroisquart[.]net
  • http[:]//wbbministries[.]org

Indicatori di Compromissione (IoC)

Si riportano gli indicatori di compromissione noti:

  • IoC (.txt) – File globale: hash files, Domini, IP;
  • IoC (.HASHr) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr