Su questa pagina: [nascondere]
Il Malware Stealthworker è stata rilevata come l'arma principale utilizzata in un attacco mondiale che ha abbattuto siti WordPress. È usato da un gruppo di hacking sconosciuto sta usando questo virus per eliminare i blog che lo utilizzano. Un'analisi di come è pianificata la strategia di infiltrazione rivela che il malware è stato integrato nel piano di infezione.
Il malware Stealthworker usato una volta contro WordPress
Uno dei più recenti attacchi su larga scala utilizzati contro i siti WordPress sembra utilizzare il Malware Stealthworker come l'arma principale. Un gruppo di hacking sconosciuto sta usando la minaccia come parte del loro attacco. La scoperta è stata fatta come parte di un rete di acquisizione honeypot in corso. Questo particolare virus è scritto in Linguaggio di programmazione e può essere usato per il lancio attacchi di forza bruta contro i principali servizi e piattaforme Web, inclusi i seguenti: cPanel / WHM, WordPress, Drupal, Joomla, OpenCart, Magento, MySQL, DessertSQL, Brixt, SSH e il servizio FTP. Questo malware può anche essere configurato per cercare i percorsi di accesso dell'amministratore e del backup.
Attraverso le operazioni honeypot, i ricercatori sulla sicurezza sono stati in grado di rilevare in che modo il malware è penetrato nei sistemi di destinazione. I sistemi di test delle vittime hanno usato un servizio gratuito Tema WordPress Lite alternativo installato sul blog di prova. Usando gli attacchi di forza bruta gli hacker sono stati in grado di sostituire il customizer.php script utilizzando un comando di caricamento file.
Quando lo script creato dagli hacker viene lanciato dalle vittime. Lo script di uploader pericoloso collegherà l'installazione a un server VPS controllato da hacker da cui verrà recuperato ed eseguito un secondo script. Scaricherà un dirigente binario che è il motore principale del malware. La prima azione che verrà eseguita sarà la controllo dell'architettura del server — se lo è 32 o 64 bit. La prossima azione sarà uccidere i processi che contengono il file invisibile corda.
Anche, Leggere 130M Attacchi Prova a rubare le credenziali del database da 1.3M siti WordPress
Mentre il numero di comandi e sequenza dannosa è limitato in questo momento, prevediamo che gli hacker lo cambieranno nel prossimo futuro. È molto probabile che gli attacchi effettuati siano semplicemente test che indicano che il malware è completamente funzionante. Le versioni future possono essere aggiornate per supportare le seguenti azioni:
- Consegna aggiuntiva del codice malware
- Furto di informazioni
- Sabotaggio
- Defacement del sito
Per stare al sicuro aggiorna sempre l'installazione del tuo sito insieme a qualsiasi funzionalità aggiuntiva installata come temi e plugin.