Archivi tag: CMS

EvilTraffic Report sull’analisi del nuovo malware: decine di migliaia di siti WordPress compromessi

268/5000
Traduco ed adatto dal post: malware di CSE Cybsec hanno scoperto una massiccia campagna di malvertising chiamata

EvilTraffic il malvertising che sta sfruttando decine di migliaia di siti Web compromessi.

Questo malware  ha sfruttato alcune vulnerabilità CMS ( includendo quindi anche WordPress) per caricare ed eseguire pagine PHP arbitrarie utilizzate per generare entrate tramite la pubblicità.

Negli ultimi giorni del 2017, i ricercatori di CSE Cybsec hanno osservato gli attori delle minacce che sfruttano alcune vulnerabilità CMS per caricare ed eseguire pagine PHP arbitrarie utilizzate per generare entrate tramite la pubblicità.

L’enorme campagna di malvertising è stata soprannominata EvilTraffic

I siti Web compromessi coinvolti nella campagna EvilTraffic eseguono varie versioni del famoso CMS WordPress. Una volta che un sito Web è stato compromesso, gli utenti malintenzionati caricheranno un file “zip” contenente tutti i file dannosi. Nonostante il file “zip” abbia un nome diverso per ciascuna infezione, quando non è compresso, i file in esso contenuti hanno sempre la stessa struttura.

Abbiamo trovato alcuni di questi archivi non ancora utilizzati, quindi abbiamo analizzato il loro contenuto. I file dannosi vengono inseriti in un percorso che si riferisce probabilmente a versioni diverse dello stesso malware (“vomiu”, “blsnxw”, “yrpowe”, “hkfoeyw”, “aqkei”, “xbiret”, “slvkty”). Sotto questa cartella ci sono: un file php, chiamato “lerbim.php”; un file php, che ha lo stesso nome della dir padre; ha inizialmente un’estensione “.suspected” e solo in una seconda volta, usando il file “lerbim.php”, sarebbe stato cambiato nel file “.php”; due directory, chiamate “wtuds” e “sotpie”, contenenti una serie di file.

Lo scopo principale del “malware” utilizzato nella campagna EvilTraffic è di attivare una catena di reindirizzamento attraverso almeno due server che generano traffico pubblicitario.

Il file “{malw_name} .php” diventa il nucleo di tutto questo contesto: se viene contattato dall’utente tramite il browser web, reindirizza il flusso prima a “caforyn.pw” e quindi a “hitcpm.com”, che funge da supervisore per diversi siti registrati in questa catena di ricavi.

Questi siti potrebbero essere utilizzati dagli aggressori per offrire servizi commerciali che mirano ad aumentare il traffico per i loro clienti, ma questo traffico viene generato in modo illegale compromettendo i siti web.

I siti potrebbero ospitare anche pagine fraudolente che pretendono di scaricare materiale sospetto (ad esempio barre degli strumenti, estensioni del browser o antivirus falso) o rubare dati sensibili (ad esempio informazioni sulla carta di credito). Al fine di aumentare la visibilità del web, i siti compromessi devono avere un buon page rank nei motori di ricerca.

Quindi, il malware esegue l’avvelenamento SEO sfruttando un elenco di parole contenente le parole cercate di tendenza.

La popolazione del sito compromesso con le liste di parole ei relativi risultati di query viene attivata contattando il PHP principale utilizzando uno specifico User-Agent su un percorso “{nome_malw} / {} malw_name .php? vm = {keyword}”. I ricercatori di CSE CybSec ZLab hanno scoperto circa 18.100 siti Web compromessi.

Mentre i ricercatori stavano analizzando la campagna di malvertising EvilTraffic, si sono resi conto che la maggior parte dei siti Web compromessi utilizzati nelle prime settimane degli attacchi sono stati ripuliti negli ultimi giorni. solo in una settimana, il numero di siti Web compromessi è sceso da circa 35k a 18k.

Secondo Alexa Traffic Rank, hitcpm.com è classificato al numero 132 nel mondo e lo 0,2367% degli utenti Internet globali lo visita. Di seguito sono riportate alcune statistiche sul traffico relative a hitcpm.com fornite da hypestat.com

  • Visitatori unici giornalieri 1.183.500
  • Visitatori unici mensili 35.505.000
  • Pagine per visita 1.41
  • Visualizzazioni di pagina giornaliere 1.668.735

L’analisi del traffico mostra un aumento esponenziale del traffico nel mese di ottobre 2017. Gli esperti hanno scoperto che truffatori dietro l’operazione EvilTraffic ha utilizzato un software dannoso per dirottare il traffico, agisce come un browser hijacker.

Il malware viene distribuito attraverso vari metodi, come ad esempio:

  • Allegato di posta indesiderata
  • Download di programmi freeware tramite un sito inaffidabile
  • Aprire file torrent e fare clic su collegamenti dannosi
  • Giocando a giochi online
  • Visitando siti Web compromessi

Lo scopo principale del malware è quello di dirottare i browser cambiando browser impostazioni come DNS, impostazioni, homepage ecc. per reindirizzare il maggior numero possibile di traffico verso il sito del dispatcher.

Ulteriori dettagli tecnici su questa campagna, inclusi gli IoC, sono disponibili nel rapporto intitolato “Decine di migliaia di siti Web compromessi coinvolti in una nuova massiccia campagna di malvertising”

Internet Facile – Come scoprire se un sito è fatto in WordPress

Esiste un modo “vecchio stile” e molto rapido per scoprire se un sito è fatto con WordPress, si digita /wp-admin nell RIGdegli indirizzi dopo il dominio del sito, per esempio: www.laparola digitale.it/wp-admin. Se compare l’interfaccia di accesso che vi chiede admin e password, siglata con il logo di WP, allora ci siete riusciti, avete la prova provata che quel sito è fatto con il nostro CMS.
Ma eseiste un sito che vi consente si curiosare meglio nei siti fatti con wordpress, oltre a verificarne l’uso come piattaforma di costruzione.
WordPress è la piattaforma di CMS più diffusa al mondo e permette in soli 5 minuti di mettere su un sito web completamente funzionante in tutti i suoi aspetti ed in più con un po più di lavoro possiamo anche creare siti web professionali con tantissime funzioni aggiuntive.

Si chiama BuildWith

Se vuoi sapere se un sito web è stato fatto usando WordPress e sapere molto del sito web come i plugin che sono usati, hosting e tema installato ecco che puoi farlo usando uno strumento web potentissimo.

BuiltWith è un sito web facile e gratuito che permette di scoprire se un sito è fatto con WordPress e se la risposta è affermativa inoltre potrai ottenere molte altre informazioni dettagliate sul dominio indicato.

Accedi a BuildWith

BuiltWith è un potente sito web che semplicemente inserendo il link del sito web da analizzare tirerà fuori tutte le informazioni che desiderate.

In più se il sito è fatto con Worpdress potremo anche scoprire che Widget e Plugin sono installati, che tema viene usato e moltissime altre informazioni dettagliate e divise in categorie.

Insomma con un solo click potremo ottenere le informazioni

Server
Provider delle email
Widget usati
Software di analisi installati
Framework usato
Tema installato
CMS scelto
Ma non solo perchè potremo vedere:

Pubblicità usata
Feed abilitato
Tutto il codice abilitato sul sito web
Insomma davvero di tutto ed in pochissimi secondi. Mettete nei preferiti BuiltWith.

Leggi anche: Internet facile: cosa è un blog e come funziona

Internet facile: cosa è un CMS e a cosa ti serve

Come dice Wikipedia “In informatica un content management system, in acronimo CMS (sistema di gestione dei contenuti in italiano), è un strumento software, installato su un server web, il cui compito è facilitare la gestione dei contenuti di siti web, svincolando il webmaster da conoscenze tecniche specifiche di programmazione Web.”

Capito? Semplificando molto diciamo che è un sito internet prefabbricato, proprio come certe casette di legno, che tu puoi installare con un semplice click nello spazio che hai acquistato da chi ti fa servizio di hosting. Per complicare un poco le cose devi anche avere un database a cui collegare il sito, non ti preoccupare, il database ed i dati necessari per il collegamento ti verranno forniti dallo tesso provider che ti eroga il servizio di hosting.

Bene detto questo, come faccio a sapere quale CMS mi serve?

Non è difficile scegliere il CMS adatto alle nostre esigenze:

oggi esistono 4 possibili CMS che si spartiscono il 90% delle richieste, dimenticavo di dirti che sono completamente gratuiti, il costo da sostenere riguarda l’affitto dello spazio (hosting) nei server di chi ti eroga il servizio, database e servizi aggiuntivi, tipo e mail, vedi le mie lezioni su come realizzare un sito da soli anche senza conoscenze informatiche.

WordPress nasce come blog (sito dedicato alla discussione tramite il commento dei post) è il CMS ideale per i principianti e per coloro che vogliono sviluppare un sito senza prendersi cura di alcun aspetto tecnico; oggi ormai è possibile realizzare siti anche professionali e di garndi dimensioni con questo CMS, magari come qui in questo sito realizzando una home page statica – cosa ci fai tu quì -, (cioè che più o meno rimane invariata) ed utilizzando la funzione blog, quindi mostrando tutti i post che scrivo, in ordine di apparizione, su una pagina specifica – finiti nella rete – .
Joomla è un ottimo CMS, ottimo per la gestione di contenuti complessi ma richiede qualche conoscenza informatica in più rispetto aWordPress per poter essere utilizzato al meglio ,  rende possibile una gestione della grafica e della organizzazione delle singole pagine più approfondita vanta estensioni molto avanzate (componenti aggiuntivi per reaizzzare specifici compiti) come splendide gallerie fotografiche, utility per il booking e gestione eventi, ma ogni giorno che passa WordPress guadagna terreno per no dire che ormai è stata  raggiunta;
Drupal è un CMS potentissimo ma anche il più difficile in assoluto e forse il più datato, potentissimo, in termini da programmatore sinifica molto basico, quindi con poche personalizzazioni disponibili ma in compenso offre  la possibilità di gestire il codice della applicazione in modo più esteso, come dicevo roba da programmatori;
Prestashop è un CMS nato esplicitamente per l’ e commerce, molto intuitivo e graficamente molto valido, se l’e commerce è lo scopo del vostro sito valutate Prestashop da subito in quano ha da subito tutte le funzioni pr il commercio elttronico pronte all’uso o facilmente integrabili. A questo punto devo precisare che i precedenti CMS richiedono l’installazione di apposite estensioni come Virtuemart per Joomla e Woocommerce per wordpress.

esistono anche altri CMS come Magento ecc. che però non considero all’altezza.

Leggi anche:  Internet facile: cosa è un blog e come funziona