WordPress “attaccata”: la colpa è di una campagna di malvertising

Diversi siti attaccati in pochi giorni, con potenziali gravi danni per gli utenti più sprovveduti o distratti, anche nel nostro Paese. Ecco il primo bilancio degli effetti della campagna di ‘malvertising’, una pubblicità cattiva e malevola che ha intaccato ben 18.000 siti su WordPress, una delle piattaforme più diffuse per creare e pubblicare sistemi editoriali e blog. Chiamata “Operation Evil Traffic”, la campagna ha raggiunto il suo picco fra Natale 2017 e i primi giorni del 2018; appartiene al malvertising, ovvero un tipo di advertising online usata per diffondere contenuti dannosi o fraudolenti.

La scoperta in Italia

L’ultima minaccia è stata individuata dai ricercatori di Cse Cybesec, attraverso gli esperti del laboratorio di analisi malware Zlab. “Ci troviamo di fronte ad una rete di grandi dimensioni. Durante le nostre prime analisi, i siti web compromessi erano circa 35.000, attualmente invece ne contiamo poco più di 18.000. Questo perché molti amministratori di siti hanno scoperto la falla e sono corsi ai ripari. Molti dei siti compromessi sono recentissimi. La campagna sembra essere iniziata ad ottobre 2017 raggiungendo il picco tra dicembre e gennaio”, spiega Antonio Pirozzi, direttore del laboratorio di analisi malware Zlab.

Il funzionamento della frode

Come spesso accade in questi casi, la logica di funzionamento messa in atto dai cyberciminali è abbastanza semplice e sfrutta la vulnerabilità dei siti basati su WordPress per ridirigere gli utenti verso siti con contenuti pubblicitari e fraudolenti all’insaputa degli utenti stessi. In sostanza, quando un utente si collega a un sito compromesso può incappare in un pagina ‘infettata’; se la clicca, magari senza darvi neppure peso, viene dirottato su siti pubblicitari che invitano ad installare software che tramite il ‘phishing’ rubano i dati personali, compresi quelli bancari.

Un business illegale ma ricchissimo

Gli esperti hanno fornito anche qualche dato relativo al ricco “giro d’affari” dei malfattori del web. Tutti i siti coinvolti nella campagna di malvertising sono basati su versioni di WordPress vulnerabili. Ovviamente, più sale il numero di ignari utenti che accede a queste pagine, più aumentano gli introiti dei criminali, che in questo modo riescono a disporre di decine di migliaia di siti per veicolare traffico verso domini con contenuti pubblicitari. “Uno solo dei siti che funge da rendez-vous dell’operazione, hitcpm.com, registra 1.183.500 visitatori unici al giorno con un guadagno giornaliero di 4.284,28 dollari, ma i siti compromessi sono stimati essere almeno 18.000, anche italiani” affermano gli analisti di Zlab.