GoTrim, una botnet contro i siti WordPress
© PexelsWordPress è il CMS (Content Management System) Open Source più utilizzato al mondo per la creazione di siti Web. Questa particolarità rende però l'applicazione sviluppata da Automattic un obbiettivo per gli utenti malevoli, attratti dal fatto di poter attaccare simultaneamente milioni di pagine Internet basate sul medesimo codice sorgente.
Un'ulteriore conferma di questa debolezza deriverebbe dai risultati di uno studio operato dai ricercatori di sicurezza di Fortinet, questi ultimi infatti avrebbero rilevato l'esistenza di una botnet, chiamata GoTrim, che ha lo scopo di individuare le password di amministrazione dei siti WordPress per prenderne il controllo attraverso il back-end.
Tale attività sarebbe finalizzata sia alla diffusione di malware che alla sottrazione di dati personali. In sostanza gli autori della botnet cercherebbero innanzitutto di violare i siti Web tramite attacchi Brute Force, una volta trovata la password necessaria per il login quest'ultimo verrebbe poi incluso nel network di GoTrim tramite uno script PHP.
Per cancellare le tracce dell'attacco sia il codice utilizzato per l'attacco Brute Force che lo script PHP verrebbero rimossi una volta terminata la fase di violazione dell'area di Admin, rimarrebbero però attivi il client di GoTrim per la connessione alla botnet e il canale di comunicazione attraverso cui gli attaccanti inviano comandi al sito colpito.
Ad oggi i siti Web colpiti sarebbero circa 30 mila, con una preferenza per quelli ospitati all'interno di server Linux. Tale dato non dovrebbe essere interpretato come una maggiore vulnerabilità del "Pinguino", più semplicemente WordPress (che si basa su PHP e MySQL) viene ottimizzato per operare in Linux che è il suo ambiente di riferimento.
