La fine del 2017 è stata sicuramente poco piacevole per la piattaforma preferita dai blogger di tutto il mondo, WordPress, che è finita nel mirino degli hacker ed ora deve vedersela con un grande numero di domini infetti.
Sono stati i ricercatori del laboratorio italiano di analisi malware “Zlab” di CSE Cybsec, azienda che si occupa di sicurezza online, ad accorgersi di una vasta operazione di malvertising, ovvero di pubblicità dannose o fraudolente, che hanno cominciato a comparire sempre con maggiore frequenza sui siti con dominio WordPress.
Questo malware prende il nome di “EvilTraffic” ed il suo funzionamento è tanto semplice quanto subdolo e maligno: sfruttando una falla nel codice del sito, il malware è in grado di compromettere determinati blog o pagine create sulla piattaforma e l’utente che si collega a queste pagine viene dirottato su pagine che propongono pubblicità fraudolente.
Molto spesso si troverà davanti una pagina del browser che gli chiede di installare un determinato software, magari facendo comparire un messaggio in cui viene detto che il proprio pc è infettato e ha bisogno di un antivirus, oppure richiede l’installazione di una estensione del browser per continuare la navigazione. L’utente, in buona fede (anche se ingenuamente) segue le istruzioni sullo schermo e si trova inevitabilmente a fare i conti con programmi indesiderati installati sul proprio computer e, nei casi più gravi, con i propri dati personali compromessi.
Altro caso sono invece i dirottamenti su pagine pubblicitarie, generando click coatti che si traducono in guadagni facili per i malfattori che sfruttano questa tecnica illegale.
Ad essere maggiormente colpite da questo malware sono alcune versioni più vulnerabili del sito WordPress, alle quali il team di sicurezza sta lavorando per ripristinarle il prima possibile.
Ma che scopo ha questa “Operazione EvilTraffic”?
Gli esperti di CSE Cybsec hanno scoperto che tutti questi click obbligati sulle pagine pubblicitarie o sui download indesiderati, riportano ad un unico sito che funge da “raccoglitore” e grazie a tutti i piccoli espedienti utilizzati dal malware riesce a totalizzare quasi un milione e 200 mila contatti al giorno, numero che se tradotto in dollari, va a formare una somma pari a 4284 dollari giornalieri. Numeri assolutamente preoccupanti, specialmente se si pensa alla facilità con cui chiunque potrebbe essere tratto in inganno oppure si trova con pubblicità indesiderate aperte sul proprio browser durante la navigazione.
“Inizialmente i siti compromessi erano circa 35 mila” spiegano i ricercatori “ma attualmente i numeri si aggirano attorno ai 18 mila, grazie alle operazioni di messa in sicurezza effettuate dagli amministratori dei siti stessi.”.
Sembra che questa “Operazione EvilTraffic” sia iniziata nell’ottobre del 2017, attaccando i siti più visitati della piattaforma, in grado quindi di generare migliaia di click al giorno, e in maniera del tutto automatica il malware ha iniziato a caricare piccoli file che contengono le parole più cercate sui motori di ricerca, in modo da indicizzare le ricerche a suo vantaggio e portare, con l’inganno, l’utente sulle proprie pagine spam e generare introiti in maniera assolutamente illegale.