Serverele WordPress.org folosite pentru a raspandi malware

La sfarsitul lunii ianuarie 2012 si la inceputul acestei luni, zeci si poate sute de mii de bloguri ce au hosting pe serverele WordPress.org au fost compromise intr-o serie de atacuri automatizate. Desi numarul site-urilor afectate nu a fost dat in mod oficial, totusi motivul compromiterii lor a fost facut cunoscut. Astfel, acestea reprezinta ultimele “achizitii” dintr-o campanie masiva de spamming si de raspandire de malware, la baza ei aflandu-se cel mai probabil botnetul Cutwail.

M86 Security, firma recent achizitionata de Trustwave, a raportat pentru prima data luna trecuta ca botnetul Cutwail trimite cantitati masive de spam. Spamul contine atasamente HTML care atunci cand sunt accesate, se conecteaza la un server dedicat pe care are  hosting kitului Phoenix Exploit ce raspandeste malware.

Dupa cum s-a dovedit, aceste bloguri au o legatura comuna. Toate cele care au fost observate pana acum de M86 si TrendMicro sunt bloguri WordPress compromise. Chiar in aceasta saptamana, TrendMicro a raportat ca spamul trimite mesaje LinkedIn false care includ un link ce duce catre un blog compromis gazduit pe serverele WordPress.org  care ofera hosting exact aceluiasi script descoperit de M86, doar ca acum raspandeste malware din kitul Blackhole Exploit.

In ambele cazuri, kiturile de exploit stau la baza troianului Cridex, care are rolul de a culege informatii confidentiale, cum ar fi cookieuri, date de logare FTP si conturi de e-mail. Pe baza cercetarilor M86 de luna trecuta, operatiunea are cel putin 25.000 de boti sub comanda Cridex.

“Troianul Cridex intercepteaza cererile din browser si modifica continutul afisat in functie de configuratia setata de catre administratorul de botnet. In acest fel, atacatorul poate pacali utilizatorul sa dezvaluie informatii valoroase fara a ridica suspiciuni” a raportat M86.

Site-urile cel mai frecvent atacate sunt cele legate de domeniul bancar, deoarece Cridex are o baza de date de peste 100 de banci.

Ca intotdeauna, mai ales intr-un mediu de afaceri, este puternic recomandata evitarea deschiderii atasamentelor cu extensie HTML si este important sa va asigurati ca un client de e-mail opereaza in text simplu.