Caos WordPress, dati di quasi mezzo milione di account rubati: chi è compromesso

Una campagna di hacking in grande stile ha portato come esito finale al furto di quasi mezzo milione di account WordPress, ecco chi è stato preso di mira. 

Ai non addetti ai lavori un nome come MUT-1244 dirà poco o nulla. Per i ricercatori di Datadog Security Labs invece identifica un criminale informatico (o un gruppo di hacker) in grado di lanciare per un anno intero una campagna di attacchi mirati. A che scopo? Rubare dati e credenziali di quasi mezzo milione di account WordPress. Insomma, un enorme attacco hacker che ha permesso ai cybercriminali di mettere le loro mani sulle chiavi di accesso a WordPress.

Stando a quanto riportato da Datadog Security Labs  i pirati informatici hanno fatto ricorso a una massiccia campagna di e-mail phishing, spingendo le loro vittime a installare un falso aggiornamento, ma non solo. In questo modo sono riusciti a impossessarsi di quasi 400 mila credenziali di WordPress (oltre 390 mila). Ecco chi è compromesso dal caos in cui è precipitata la piattaforma di WordPress.

WordPress nel caos: rubati i dati di quasi mezzo milione di account

La  campagna di hacking che ha preso di mira gli account WordPress ha riguardato soprattutto esperti di sicurezza informatica come penetration tester e red team. Parliamo di specialisti che si occupano professionalmente di mettere alla prova i sistemi informatici, cercando di attaccarli e forzarli, in una sorta di “test” per individuare e correggerne le vulnerabilità.

Come detto i cybercriminali da un lato hanno fatto ricorso al phishing. Il loro obiettivo era quello di spingere i loro bersagli ad installare un falso aggiornamento del kernel – la componente fondamentale del sistema operativo – facendolo passare per uno della CPU. Ma non è tutto qui: MUT-1244 ha usato anche repository.

In sostanza i pirati informatici hanno usato archivi di dati impiegati dagli sviluppatori nella gestione di un codice sorgente (repository GitHub), servendosene come cavalli di Troia per ingannare le loro vittime. Lo scopo finale degli hacker era quello di installare un malware sui dispositivi altrui, in modo da compromettere i loro sistemi di sicurezza.

Dopo aver agganciato i sistemi, MUT-1244 è stato in grado di trafugare quasi 400 mila credenziali di WordPress. Un obiettivo raggiunto grazie a quello che i ricercatori di Datadog Security Labs chiamano uno “strumento yawpp”, usato da MUT-1244 come checker di credenziali WordPress. In questo modo le vittime sono state tratte in inganno.

I criminali le hanno indotte a verificare la validità dei set di credenziali rubate, spesso comprate su mercati clandestini, senza rendersi conto che in questi modo stavano passando una quantità colossale di credenziali ai cybertruffatori.