Alcuni malware di tipo Remote Access Trojan sono stati diffusi attraverso alcune pagine anti DDoS false su siti WordPress compromessi.

Questa è la recente scoperta di un gruppo di ricercatori di sicurezza di Sucuri, avvenuta con l’individuazione di injection di JavaScript mirate ad alcuni siti WordPress.

Le pagine per la protezione dal DDoS sono quelle utilizzate per verificare che il visitatore sia effettivamente un utente umano e non un bot, e di solito si associano alle verifiche dei browser tramite servizi WAF/CDN.

In alcune pagine compromesse, gli utenti che fanno clic per superare la protezione DDoS e visitare il sito si sono trovati invece a scaricare inconsapevolmente un malware di accesso remoto, credendo di effettuare il download di un “innocuo programma” contenente il codice di verifica per l’accesso.

Il programma, però, monta un’immagine contenente un file eseguibile chiamato security_install.exe, in realtà un collegamento rapido di Windows che esegue un comando di PowerShell contenuto nel file debug.txt sulla stessa unità montata sul sistema.

Dopo aver mostrato il codice di accesso fasullo, viene avviata una catena di script finalizzata a installare il trojan di accesso remoto chiamato NetSupport RAT. Inoltre, lo stesso script infetta il sistema con un trojan focalizzato sul furto di informazioni, chiamato Raccoon Stealer, che consente di raccogliere credenziali, cookie, dati di completamento automatico e molto altro.

Al fine di evitare situazioni spiacevoli, se avete un sito web, assicuratevi di aggiornare tutto il software sottostante, utilizzate password efficaci e, se possibile, l’autenticazione a due fattori (che andrebbe utilizzata anche dagli utenti).

In generale, poi, per chi naviga la rete, il consiglio è sempre di utilizzare un buon antivirus aggiornato all’ultima versione e se possibile anche uno script blocker.