Aldo Benassi

Ott 2, 2017, 8:00am

Aldo Benassi

Ott 2, 2017, 8:00am

La storia del plugin di WordPress che apriva la porta allo spam | Display Widgets

Il popolare sito di personal publishing ha rimosso un backdoor in grado di diffondere spam pubblicitario attraverso i siti degli utenti che lo avevano installato: 200 mila i siti infettati

WordPress ha reso noto nei giorni scorsi la rimozione del plugin Display Widgets dal proprio store dopo aver scoperto una backdoor in grado di diffondere spam pubblicitario attraverso i siti degli utenti che lo avevano installato. Secondo quanto riportato dalla popolare piattaforma di “personal publishing”, sono stati 200 mila i siti infettati dal plugin.

spam

Tre mesi di attività

I ricercatori di Wordfence, società che si occupa della CyberSicurezza di WordPress, ha ricostruito i tre mesi di attività di Display Widgets. La sua autrice originaria Stephanie Wells (che ha dato la sua piena disponibilità nel collaborare con Wordfence) aveva ceduto la proprietà del plugin ad un utente conosciuto con il nickname di “displaywidget” il 21 giugno scorso, data in cui è stata subito rilasciata la versione 2.6.0. Ventiquattr’ore dopo il Seo consultant David Law scrive a WordPress segnalando che l’installazione di Display Widgets comportava il download di un

database di geolocalizzazione della Maxmind grande 38 megabyte, che permetteva al plugin di tracciare gli indirizzi IP degli utenti, monitorare il traffico verso i siti e condividere questi dati con un sito web di terze parti

Display Widgets viene quindi rimosso dallo store di WordPress, ma nei giorni successivi viene reso disponibile un nuovo update (v.2.6.1) con al suo interno un file chiamato “geolocation.php”. Il file conteneva a sua volta la backdoor che autorizzava l’autore di Display Widgets di pubblicare post nei siti in cui questo era stato installato, senza che i legittimi proprietari potessero accorgersene e così il plugin viene nuovamente rimosso da WordPress. Le versioni 2.6.2 e 2.6.3 – rese disponibili tra luglio e settembre – subiranno la stessa sorte poiché, attraverso la backdoor, generavano autonomamente link di spam pubblicitario nei siti degli utenti dirottando poi il traffico verso siti di terze parti.

Le indagini

Mark Maunder, CEO di Wordfence, ha pubblicato un ulteriore post sul blog della compagnia per spiegare le varie fasi delle indagini che hanno permesso l’identificazione de “L’uomo dietro lo spam del plugin”. La prima pista seguita è quella di un indirizzo email contenuto in un post dell’utente “displaywidget” nel forum di supporto di WordPress: [email protected]. “Displaywidget”, alias “Kevin”, si è sentito costretto a pubblicarlo per rispondere alle accuse rivolte dagli altri utenti di utilizzo malevolo del plugin. La WP Devs si promuove sul proprio sito come compagnia dedita all’acquisto e alla gestione di plugins di WordPress, ma non risultano informazioni riguardo “Kevin Danna” e le tipologie di servizi offerti. Il sospetto che si tratti di un dominio fittizio viene avvalorato nel momento in cui Wordfence viene a conoscenza della sua registrazione nel mese di aprile e che su archive.org non c’è traccia di registrazioni precedenti.

Un altro caso di spam

Wells, autrice originaria del plugin, ha informato Maunder di aver venduto Display Widgets a tale Mason Soiza per 15 mila dollari. Soiza è un cittadino britannico di 23 anni e oltre a essere titolare della “Soiza Limited” – società registrata a Nottingham, in Inghilterra – svolge la professione di rappresentante di servizi finanziari per la Quint Group Limited. Maunder ha così contattato telefonicamente il direttore commerciale della Quint, Graham McGifford, che ha assicurato di prendere provvedimenti nei confronti di Soiza. Nel frattempo, sono emersi collegamenti tra Soiza e un altro caso di spam attraverso il plugin “404 to 301”, che nell’agosto 2016 era stato responsabile di aver inserito pubblicità di un sito di escort sul portale di una scuola del Regno Unito. Soiza si era presentato a Wells come possessore di altri widget di WordPress, tra cui proprio il “404 to 301”, anche se devono essere ancora chiariti i rapporti con Joel James, suo autore originario Joel James. Ciò che è certo al momento è che Soiza e Danna sono la stessa persona, dato che per l’acquisto del plugin “Finance Calculator”, Soiza ha utilizzato l’email di Danna firmandosi Mason.  Dipanata la spam story, Wordfence ha messo in allerta tutti gli autori di plugins consigliando di evitare qualunque contatto con Soiza.