WordPress: botnet GoTrim usata per accedere ai siti

I ricercatori di sicurezza di Fortinet hanno comunicato di aver rilevato una nuova campagna d'attacco che prevede la scansione dei siti strutturati mediane WordPress al fine di trafugare le password di amministrazione dei portali presi di mira. Per la messa a segno dell’attacco viene usata la botnet denominata GoTrim.

WordPress: siti presi di mira con la botnet GoTrim

Una volta scovata la password di amministrazione del sito e preso il controllo dello stesso, gli aggressori possono iniziare a distribuire malware, iniettare script per il furto di carte di credito, reindirizzare gli utenti a pagine Web per il phishing e molto altro ancora, andando potenzialmente a colpire milioni di persone, in base alla popolarità del portale attaccato, le quali possono però proteggersi adottato una buona soluzione antivirus sui propri dispositivi, come ad esempio Norton 360 Premium.

Andando più nello specifico, i primi attacchi sono stati scovati a settembre scorso e la maggior parte di essi è avvenuta contro server Linux. I cybercrminali alle spalle di GoTrim assegnano un elenco di siti “bersaglio” e di password da testare ad ogni bot. Il tentativo di accesso avviene tramite brute force. Se e quando la password viene scovata, il sito è aggiunto alla botnet attraverso l’installazione ed esecuzione di uno script PHP e le credenziali vengono inviate al server C2C (command and control).

In seguito, lo script PHP che ha scaricato il client della botnet sui computer e il componente brute force vengono rimossi in maniera tale da non lasciare alcuna traccia, dopodiché il sito infettato resta in attesa dei comandi.