SoakSoak, attacco malware contro siti WordPress

Oltre 11.000 domini sono stati inseriti nella blacklist da Google, in seguito alla scoperta di un vasto attacco malware contro circa 100.000 siti web basati sul noto CMS WordPress. Dopo un’accurata indagine, i ricercatori di sicurezza di Sucuri hanno individuato la causa nel plugin RevSlider, utilizzato per la creazione di gallerie fotografiche. Al malware è stato assegnato il nome SoakSoak, in quanto i visitatori dei siti infetti vengono redirezionati all’indirizzo soaksoak.ru.

Circa tre mesi fa, Sucuri aveva scoperto un exploit che sfrutta una grave vulnerabilità in Slider Revolution. ThemePunch ha rilasciato un aggiornamento che risolve il bug, ma molti webmaster non hanno installato la nuova versione (il plugin è a pagamento), che include un sistema di auto-update. Inoltre, alcuni gestori dei siti non sanno che il plugin è anche incluso e distribuito nei temi, ma in questo caso la patch deve essere installata manualmente. I cybercriminali effettuano una scansione remota del sito per cercare il file revicons.eot e, in caso di risposta positiva, tentano di caricare sul server un tema infetto.

Se l’exploit ha successo, viene installata la backdoor Filesman che permette di accedere a tutti i file del sito. A questo punto, viene modificato il file wp-includes/template-loader.php, aggiungendo una funzione che esegue una versione infetta dello script swfobject.js, che a sua volta scarica il malware dal sito soaksoak.ru.

Teoricamente sarebbe sufficiente sostituire i file suddetti con versioni pulite, ma il malware verrebbe nuovamente scaricato, in quanto non sono state eliminate le backdoor. Per ripulire completamente il sito è necessario utilizzare un firewall che blocca il download da remoto. Sucuri ha realizzato un tool per verificare la presenza del malware.