Attaccati più di 100mila blog WordPress...

In questo forum vengono inseriti tutti i commenti inviati per ogni articolo pubblicato nelle pagine de IlSoftware.it

Moderatore: Staff forum IlSoftware.it

Admin
Senior Software
Senior Software
Messaggi: 6627
Iscritto il: 28 giu 2000 14:47

Attaccati più di 100mila blog WordPress...

Messaggioda Admin » 16 dic 2014 10:59

Più di 100.000 blog WordPress sono stati infettati, nelle ultime ore, da un malware di origine russa, battezzato SoakSoak. Google ha già provveduto precauzionalmente a bloccare circa 11.000 domini nel tentativo di limitare i danni.Sì, perché il codice malevolo caricato dai criminali informatici sui blog WordPress oggetto dell'attacco cerca di provocare il download di malware sui sistemi client degli utenti che si connettono al sito infetto.Su tutte le pagine dei siti WordPress interessati dall'attacco, è stata infatti rilevata la presenza di codice JavaScript offuscato che viene sfruttato per disporre il download automatico di componenti malware.Aggiornare non solo WordPress ma anche i plugin I tecnici di Sucuri, azienda da anni attiva nel campo della sicurezza informatica, hanno confermato che l'attacco ha potuto trovare terreno fertile, sui blog WordPress interessati dal problema, grazie alla presenza di una versione vulnerabile del noto plugin RevSlider. ( http://www.ilsoftware.it/articoli.asp?ID=11636 per consultare il testo completo.)

Sampei Nihira
Ospite

Re: Attaccati più di 100mila blog WordPress...

Messaggioda Sampei Nihira » 16 dic 2014 16:05

Interessante constatare che i 2 browser bersaglio di questo attacco sarebbero Firefox ed I.E.11.
Chi utilizza Firefox + Noscript è al sicuro.
Secondo me questo attacco potebbe essere il classico esempio di come Firefox *, anche sotto tutela EMET, possa essere vulnerabile.
Questo in mancanza di un corretto setting dell'utente.
Mentre l'uso di MBAE mette al riparo a default il tutto.
Questo ovviamente se assumiamo come pre-condizione che gli anti-exploit intervengono in modo efficace a protezione del tutto.

Sotto la dimostrazione della condizione 0-day:

https://www.virustotal.com/en/file/f4bd ... 418642070/" onclick="window.open(this.href);return false;

anche a distanza di oltre 1 gg dall'analisi.

p.s. Mi ero dimenticato di scrivere che anche i browser Firefox-based seguono lo stesso destino................

In questo momento il dominio soaksoak.** (che risulta bloccato da Google) è off line.