1899 Letture
Centinaia di siti Drupal trasformati in piattaforme per il mining di crittomonete

Centinaia di siti Drupal trasformati in piattaforme per il mining di crittomonete

Le vulnerabilità recentemente scoperte nel noto CMS Drupal sono state sfruttate per servire ai browser web degli utenti codice per svolgere il mining di crittomonete. In alcuni casi i criminali informatici hanno installato una backdoor via PHP.

Drupal è il terzo CMS utilizzato al mondo per pubblicare e condividere contenuti online. Non vanta certamente le quote di mercato di Wordpress e Joomla ma il 4,6% delle quote di mercato appannaggio di Drupal vale comunque circa 1 milione di siti web attivi e oltre 23 milioni di installazioni in tutto il mondo.

Nelle scorse settimane vi avevamo parlato di due pericolose vulnerabilità scoperte in Drupal: Tutti i siti web realizzati con Drupal sono gravemente a rischio: è Drupalgeddon2.

Dal momento che molti webmaster non hanno provveduto a installare gli aggiornamenti rilasciati da Drupal o ad adeguare la versione del CMS installata nel caso delle release più vecchie e ormai non più supportate, i loro siti web sono stati presi di mira installandovi codice capace di attivare il mining di crittomonete al momento della visita da parte degli utenti.


Centinaia di siti Drupal trasformati in piattaforme per il mining di crittomonete

Uno degli attacchi più recenti è stato scoperto dal ricercatore statunitense Troy Mursch che si è accorto come centinaia di siti web basati su Drupal facciano scaricare dal browser codice JavaScript che impegna enormemente la CPU per minare monete virtuali e arricchire il portafoglio degli aggressori.

Come ha spiegato Mursch, il file che viene caricato sui siti web bersagliati dai criminali informatici si chiama jquery.once.js ed è il responsabile dell'attività di mining.

In questo foglio di calcolo Mursch ha annotato la lista dei siti web Drupal presi di mira dagli aggressori. Alcuni di essi sono italiani e spesso fanno capo a enti pubblici o realtà aziendali.


Appena qualche giorno fa, sui siti Drupal non aggiornati con le patch di sicurezza recentemente rilasciate, era stato rinvenuto un altro miner (file me0w.js) e in molti casi gli aggressori hanno installato una backdoor via PHP così da assicurarsi pieno controllo del sito vulnerabile anche nel caso in cui il webmaster provvedesse all'installazione degli aggiornamenti.

Centinaia di siti Drupal trasformati in piattaforme per il mining di crittomonete