Rubate le credenziali di oltre 390mila account WordPress

È caos WordPress. Secondo quanto riportato dai ricercatori di Datadog Security Labs, un criminale informatico (o un gruppo) identificato come MUT-1244 ha rubato più di 390.000 credenziali WordPress in una campagna di attacchi durata un anno, che gli ha permesso di mettere le mani sulle chiavi di accesso appartenenti a cybercriminali e a figure coinvolte nella sicurezza informatica come penetration tester e red team (specialisti che si occupano di attaccare un sistema informatico al fine di identificarne le debolezze e correggerle). A quanto pare, per impressionare le migliaia di vittime MUT-1244 ha utilizzato una duplice strategia d’attacco: da un lato, una campagna di phishing che le ha spinte a installare un falso aggiornamento del kernel (la componente essenziale di un sistema operativo) spacciandolo per uno della CPU.

D’altro lato, MUT-1244 ha utilizzato repository (archivi di dati utilizzati dagli sviluppatori per gestire un codice sorgente) GitHub come cavallo di Troia per ingannare attori di minacce – individui o gruppi che compromettono la sicurezza di sistemi e dispositivi con attacchi di ogni genere – ed esperti di cybersecurity alla esame di exploit legati a vulnerabilità specifiche. “A causa della loro denominazione, molti di questi repository vengono automaticamente inclusi in fonti legittime, come Feedly Threat Intelligence o Vulnmon, come repository proof-of-concept per queste vulnerabilità – hanno riferito i ricercatori di Datadog Security Labs – Questo aumenta la loro parvenza di legittimità e la probabilità che qualcuno li esegua”. In entrambi i casi, il fine ultimo era quello di far arrivare un malware sui dispositivi delle vittime, così da comprometterne i sistemi di sicurezza.

Una volta agganciati i sistemi, MUT-1244 si è ingegnato per rubare quasi 400.000 credenziali WordPress. Per riuscire a raggiungere il suo obiettivo, ha utilizzato quello che i ricercatori hanno chiamato uno “strumento yawpp”, promosso da MUT-1244 come un checker di credenziali WordPress. Non sorprende, quindi, che i morti lo abbiano usato per verificare la validità dei “set di credenziali rubate (che spesso vengono acquistate dai mercati clandestini per velocizzare le operazioni degli attori delle minacce)”, senza sapere che così stavano passando migliaia di credenziali a un cybercriminale.