Siti WordPress compromessi distribuiscono malware Vidar: come proteggere il tuo sito

Siti WordPress compromessi distribuiscono malware Vidar: come proteggere il tuo sito

Introduzione: Il pericolo nascosto nei siti compromessi

Se gestisci un sito WordPress, devi sapere che i criminali informatici stanno sfruttando una tecnica sempre più sofisticata per distribuire malware. Stanno compromettendo siti WordPress legittimi e inserendo pagine CAPTCHA false che sembrano provenire da servizi affidabili come Cloudflare. Quando i visitatori vedono questi messaggi ingannevoli, vengono convinti a eseguire comandi che installano il malware Vidar, un software malevolo che ruba informazioni sensibili.

La buona notizia? Puoi proteggere il tuo sito e i tuoi visitatori seguendo alcuni passaggi fondamentali di sicurezza WordPress. Continua a leggere per scoprire come.

Che cos’è il malware Vidar e perché dovresti preoccuparti

Vidar è un malware sofisticato progettato per rubare dati sensibili dai computer infetti. Una volta installato, può accedere a:

  • Nomi utente e password salvati nei browser
  • Informazioni sui portafogli di criptovalute
  • Cookie di sessione e token di autenticazione
  • Dati di compilazione automatica e informazioni di pagamento salvate
  • File che contengono dati sensibili

Ciò che rende Vidar particolarmente pericoloso è che funziona silenziosamente in memoria e comunica con server remoti senza mostrare segni evidenti di infezione. I tuoi visitatori potrebbero non accorgersi di nulla mentre i loro dati vengono rubati.

Come funziona l’attacco: la catena di infezione

Gli attaccanti utilizzano una strategia in più fasi per compromettere i sistemi:

Fase 1: La pagina CAPTCHA falsa

Quando un visitatore accede a un sito WordPress compromesso, vede una schermata che imita la famosa pagina “Verifying you are human” di Cloudflare. Il messaggio chiede all’utente di copiare ed eseguire un comando, tipicamente:

mshta https://{sito-compromesso}/challenge/cf

Mshta è un programma Windows legittimo progettato per eseguire applicazioni HTML (HTA). I criminali lo sfruttano perché è integrato in Windows e non desta sospetti.

Fase 2: Lo script HTA e il dropper MSI

Il comando esegue uno script HTA offuscato che scarica un installer MSI (Windows Installer Package) malevolo. Lo script HTA esegue diverse operazioni:

  • Ridimensiona la finestra a 0x0 e la sposta fuori dallo schermo, rendendola invisibile
  • Verifica se sono installati prodotti antivirus tramite query WMI
  • Crea cartelle di lavoro nascoste in AppData\Local
  • Scarica il file MSI malevolo da un sito compromesso
  • Rimuove gli identificatori di zona per evitare avvisi di sicurezza

Fase 3: Il loader GoLang e l’installazione di Vidar

L’MSI contiene un’azione personalizzata che esegue un loader GoLang. Questo loader esegue controlli anti-analisi sofisticati, quindi decripta e carica il malware Vidar direttamente in memoria, completando l’infezione.

Come i siti WordPress vengono compromessi

I criminali iniettano codice malevolo nei siti WordPress compromessi utilizzando domini come cdnwoopress.com o woopresscdn.com. Questo codice iniettato:

  • Crea un file wp-cache-manager.php per mantenere l’accesso
  • Invia segnali di heartbeat ogni ora ai server dei criminali
  • Filtra i visitatori in base al sistema operativo (mirando specificamente agli utenti Windows)
  • Sostituisce il contenuto della pagina WordPress con la pagina CAPTCHA falsa

I siti colpiti sono stati trovati in Italia, Francia, Stati Uniti, Regno Unito e Brasile, dimostrando la portata globale di questa campagna.

Come proteggere il tuo sito WordPress

Aggiornamenti di sicurezza essenziali

La protezione più importante è mantenere tutto aggiornato. Attiva gli aggiornamenti automatici per WordPress core, temi e plugin. La maggior parte dei compromessi avviene attraverso software obsoleto con vulnerabilità note. Rimuovi completamente i plugin e i temi che non utilizzi, poiché rappresentano superfici di attacco aggiuntive.

Protezione dell’accesso amministrativo

Implementa misure di sicurezza robuste per l’accesso admin:

  • Limita i tentativi di login per bloccare gli attacchi brute-force
  • Abilita l’autenticazione a due fattori (2FA) usando plugin come WP 2FA
  • Usa password complesse (almeno 10-15 caratteri con maiuscole, minuscole, numeri e simboli)
  • Evita il nome utente “admin” – è il primo tentativo in ogni script di attacco
  • Applica HTTPS-only per l’accesso admin per prevenire l’intercettazione delle credenziali
  • Abilita i log di login dettagliati per monitorare i tentativi di accesso

Protezione aggiuntiva del sito

  • Installa un firewall (WAF) come Wordfence Security o Sucuri Security per bloccare il traffico sospetto
  • Implementa reCAPTCHA sulle pagine di login e moduli di registrazione per prevenire gli attacchi automatizzati
  • Disabilita XML-RPC se non lo utilizzi, poiché è un bersaglio comune
  • Disabilita la navigazione delle directory per impedire ai criminali di vedere la struttura dei file
  • Scansiona regolarmente il sito per malware e vulnerabilità
  • Esegui backup giornalieri in modo da poter ripristinare rapidamente in caso di compromissione
  • Installa un plugin di sicurezza completo come Wordfence, Sucuri o iThemes Security

Come proteggere i tuoi visitatori

Educare gli utenti è fondamentale. Condividi questi suggerimenti con i tuoi visitatori:

  • Non eseguire comandi da fonti non affidabili – nessun sito legittimo chiede di eseguire comandi di sistema per verificare che sei umano
  • Sii scettico di fronte all’urgenza – i criminali creano falsi avvisi di sicurezza e timer per farti agire senza pensare
  • Verifica indipendentemente – se un sito chiede di eseguire un comando, contatta il supporto ufficiale attraverso canali affidabili
  • Fai attenzione al copia-incolla – alcuni attacchi nascondono comandi malevoli nel testo copiato
  • Mantieni il tuo sistema aggiornato – gli aggiornamenti di sicurezza del sistema operativo e del browser sono essenziali

Technical Deep Dive: Analisi tecnica per amministratori avanzati

Analisi dell’iniezione di codice

L’analisi dei siti compromessi ha rivelato che il codice iniettato esegue operazioni sofisticate. Lo script iniettato comunica con endpoint API remoti come /api/get_payload per recuperare il payload della pagina CAPTCHA falsa. Questo design modulare consente ai criminali di aggiornare il payload senza reinfettare i siti.

L’endpoint /api/plugin fornisce il contenuto del file wp-cache-manager.php, permettendo ai criminali di mantenere l’accesso persistente anche se il file originale viene eliminato. Il file di cache viene creato nella directory wp-content, dove è meno probabile che venga rilevato durante le scansioni di sicurezza di routine.

Analisi dello script HTA

Lo script HTA utilizza offuscamento XOR con chiavi casuali per nascondere le stringhe di comando. Questo rende difficile l’analisi statica del malware. Lo script esegue anche controlli WMI sofisticati per rilevare i prodotti antivirus installati, permettendo al malware di adattarsi all’ambiente della vittima.

I controlli anti-debugging includono:

  • CheckRemoteDebuggerPresent – rileva debugger remoti
  • IsDebuggerPresent – rileva debugger locali
  • QueryPerformanceCounter e GetTickCount – rileva l’emulazione

Se questi controlli rilevano un ambiente di analisi, lo script termina l’esecuzione, rendendo difficile l’analisi forense.

Analisi del loader GoLang

Il loader GoLang decodifica uno shellcode che esegue ulteriori controlli anti-analisi. Il loader utilizza la crittografia per proteggere il payload di Vidar in memoria, evitando il rilevamento basato su firme. Una volta decrittato, Vidar viene caricato direttamente nello spazio di memoria del loader, evitando la creazione di file su disco che potrebbe essere rilevata dai sistemi di prevenzione della perdita di dati (DLP).

Indicatori di compromissione (IOC)

Per le scansioni di rete e le analisi forensi, monitora questi indicatori:

Domini di infrastruttura CAPTCHA falsa:

  • cdnwoopress.com
  • woopresscdn.com
  • walwood.be

Server di comando e controllo (C2) di Vidar:

  • telegram.me/dikkh0k
  • telegram.me/pr55ii
  • steamcommunity.com/profiles/76561198742377525
  • steamcommunity.com/profiles/76561198735736086

Strategie di remediation avanzate

Se il tuo sito è stato compromesso:

  1. Isola immediatamente il sito – scollegalo dalla rete per prevenire ulteriori danni
  2. Cerca il file wp-cache-manager.php – questo è il file di accesso principale
  3. Analizza i log di accesso – cerca connessioni a domini sospetti come cdnwoopress.com
  4. Ispeziona wp-config.php e .htaccess – i criminali spesso aggiungono codice qui
  5. Ripristina da un backup pulito – se disponibile, un backup da prima della data di compromissione
  6. Cambia tutte le credenziali – password di database, accesso FTP, account WordPress
  7. Esegui una scansione completa del malware – usa strumenti specializzati come Wordfence o Sucuri
  8. Monitora il traffico di rete – cerca connessioni a indirizzi IP sospetti o domini noti di C2

Hardening del file system

Implementa permessi di file ristretti:

  • Imposta i permessi su wp-config.php a 400 (lettura solo per il proprietario)
  • Imposta i permessi su .htaccess a 644
  • Disabilita la modifica dei file tramite l’editor WordPress (aggiungi define('DISALLOW_FILE_EDIT', true); a wp-config.php)
  • Utilizza un WAF per bloccare l’accesso diretto a file sensibili come wp-config.php

Queste misure tecniche, combinate con le pratiche di sicurezza standard, forniscono una difesa a più strati contro questa campagna di malware sofisticata.

Fonte: https://securityboulevard.com/2026/03/hacked-sites-deliver-vidar-infostealer-to-windows-users/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto