È stata scoperta una nuova campagna di hacking che ha infettato centinaia di siti ospitati da GoDaddy Hosted Sites.
Un'indagine del Wordfence Incident Response Team ha rivelato che più di 280 siti Web ospitati con il servizio WordPress gestito da GoDaddy sono stati infettati da una backdoor.
Tra i servizi compromessi ci sono MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet e Host Europe, con un totale di 298 siti infetti.
Questa backdoor senza nome, è stato spiegato in seguito, è in uso da almeno sette anni. Gli attori delle minacce lo aggiungono all'inizio di wp-config.php e il suo scopo sembra essere quello di generare risultati di ricerca di Google contenenti spam, incluse risorse personalizzate per il sito infetto.
Dominio di primo livello russo
"Se una richiesta con un cookie impostato su un determinato valore con codifica base64 viene inviata al sito, la backdoor scaricherà un modello di collegamento spam da un dominio di comando e controllo (C2), in questo caso t-fish karu, e lo salverà in un file crittografato con un nome impostato sull'hash MD5 del dominio del sito infetto", hanno spiegato i ricercatori. "Ad esempio, il file crittografato per 'examplesite.com' si chiamerebbe 8c14bd67a49c34807b57202eb549e461, che è un hash di quel dominio."
Il dominio C2 ha un dominio di primo livello russo, ma non vi è alcuna indicazione che questa particolare campagna abbia qualcosa a che fare con l'invasione russa in corso dell'Ucraina.
Gli investigatori devono ancora capire come gli attori delle minacce siano entrati nei servizi di GoDaddy, ipotizzando che potrebbe essere correlato all'attacco dell'anno scorso ai sistemi dell'azienda. Nel 2021, GoDaddy ha riferito che un utente malintenzionato sconosciuto stava ottenendo l'accesso ai loro sistemi utilizzati per il provisioning dei loro siti WordPress gestiti.
I clienti della piattaforma WordPress gestita da GoDaddy sono incoraggiati a scansionare manualmente il file wp-config.php del proprio sito o a eseguire una scansione con una soluzione di rilevamento malware per assicurarsi che le loro installazioni siano pulite.
Chi trova qualcosa può utilizzare le istruzioni che si trovano a questo link, per ripulire i propri siti da qualsiasi codice dannoso o virus.