Migliaia di domini con CMS WordPress compromessi veicolano malware

10/09/2019

apikey backdoor plugin qbot Vulnerabilità wordpress wpbot

Da qualche mese è in atto una campagna di compromissione di domini WordPress che fanno uso di una versione obsoleta del plugin “apikey“. In data odierna il CERT-PA ha avuto evidenza della campagna in corso che coinvolge centinaia di domini italiani, per lo più afferenti a privati, che utilizzano il CMS WordPress.

Il codice malevolo utilizzato per la compromissione è stato denominato Wpbot, una backdoor scritta in php di cui le prime tracce risalgono ad oltre un anno fa, che consente al gruppo criminale di interagire con il server compromesso e quindi di scegliere, nelle varie fasi della campagna, quale malware distribuire attraverso la piattaforma WordPress compromessa.

Nelle ultime ore i domini interessati, di cui 300 localizzati in Italia, hanno distribuito “qbot, un malware con funzionalità di keylogger orientato principalmente al furto di credenziali. Una lista di oltre 32000 domini stilata dall’utente twitter @blackorbird, che già agli inizi del mese di agosto aveva analizzato la campagna, è stata condivisa e resa pubblicamente disponibile sulla piattaforma Pastebin.

Il CERT-PA ha avviato le procedure di mitigazione in collaborazione con i CERT di competenza. Tuttavia si consiglia di non installare estensioni al di fuori dei repository WordPress e comunque di mantenere sempre aggiornato il CMS e i relativi plugin.