Il malware WP-VCD è tornato ad attaccare WordPress

C’è un nuovo malware per i siti wordpress chiamato: wp-vcd, al contrario della versione precedente; questo malware aggiunge un paio di stringhe in più nel file functions.php e crea dei nuovi file. Il malware è stato individuato per la prima volta online quest’estate dallo specialista italiano di sicurezza informatica Manuel D’Orso. La versione originale del malware è caricato tramite una chiamata che è inclusa nel file wp-vcd.php e ha iniettato del codice dannoso nei file core di WordPress come functions.php e class.wp.php.

Ecco qui un’ articolo sul “vecchio ” malware vcd

Negli ultimi mesi gli attacchi sono continuati e si sono evoluti.

La scorsa settimana, Sucuri ha notato una nuova versione di questo malware che ha iniettato del codice dannoso all’interno dei file dei temi predefiniti forniti con WordPress CMS nel 2015 e 2016. “Il codice è piuttosto semplice e non nasconde le sue intenzioni maligne codificando o offuscando le funzioni “, ha detto Sucuri.

Malware

Questo codice malevolo crea un nuovo account amministrativo segreto chiamato 100010010. Lo scopo di questo account backdoor è aprire una connessione al sito infetto in modo che gli hacker potessero effettuare attacchi in seguito. Secondo il ricercatore di sicurezza Sucuri Denis Sinegubko, il malware wp-vcd è ora preinstallato all’interno di temi premium pirati di WordPress offerti per il download gratuitamente su alcuni siti noti per fornire temi e plugin nulled per varie piattaforme CMS.

Il malware wp-vcd utilizza il codice malevolo per iniettare spam nel sito


Sinegubko afferma che da quando Sucuri ha visto una rinascita del malware wp-vcd a fine novembre; gli aggressori hanno utilizzato account backdoor wp-vcd per inserire spam nei siti infetti.

eliminare.spam
Spam

Alcuni di questi messaggi di spam hanno anche riportato gli utenti ai siti Web che offrono temi nulled; aiutando gli autori di wp-vcd a propagare il loro malware ed espandere la loro rete di siti compromessi. Secondo Sucuri, gli hacker utilizzano le vulnerabilità presenti in plugin e temi obsoleti per caricare il malware wp-vcd su siti vulnerabili. Per restare protetti da questo malware è consigliabile installare un firewall per applicazioni web (WAF) che impedisce la modifica dei file principali wordpress. Alcuni dei siti interessati contenevano un codice dannoso chiamato ‘wp-vcd.php’ , all’interno della cartella wp-Includes e lo stesso era incluso nei file wp-Includes / post.php e features.php.

Cosa fare in caso di attacco:

  • Reinstallare il template originale (non quello nulled piratato! )
  • Cancellare via ftp o pannello di controllo del hosting tutti i template installati non in uso
  • Rimuovere il codice sospetto dal  functions.php del template.
  • Eliminare i file generati dal malware dalla directory wp-includes (class.wp.php, wp-vcd.php, wp-tmp.php, wp-feed.php). Oltre a questi ce ne possono essere altri, ad esempio:  class.theme-modules.phpadmin.txtcodexc.txtcode1.phpcode.php
  • Verificare il database, di solito capita di trovare un account chiamato: 100010010 . In tal caso eliminare tutti gli utenti “sconosciuti”
  • Eliminare tutta la cache del sito, tramite appositi plugin
  • Verificare la corrispondenza dei file tra il sito e i file originali di wordpress. (github)
  • Installare un Antimalware e Web Application Firewall (WAF) sul vostro sito web in modo da proteggere il sito. Personalmente io ho provato Wordfence e Cerber e mi sono trovato bene.

Consigli:

Backup
Backup
  • Comprate sempre i temi! Non scaricate temi nulled perchè la maggior parte sono infettati
  • Comprate sempre i plugin! Anche i Plugin nulled sono infettati
  • Scaricare un buon antimalware e WAF (Ad esempio Wordfence e Cerber)
  • Fare dei backup
Write a comment