{"id":25761,"date":"2025-02-06T13:22:15","date_gmt":"2025-02-06T21:22:15","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2025\/02\/06\/news-19484\/"},"modified":"2025-02-06T13:22:15","modified_gmt":"2025-02-06T21:22:15","slug":"news-19484","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2025\/02\/06\/news-19484\/","title":{"rendered":"Gootloader: tutto quello che c’\u00e8 da sapere"},"content":{"rendered":"

<\/p>\n

Credit to Author: Gabor Szappanos| Date: Tue, 21 Jan 2025 06:57:16 +0000<\/strong><\/p>\n

\n

La famiglia di malware Gootloader utilizza una forma particolare di ingegneria sociale<\/a> per infettare i computer: i suoi creatori attirano le persone a visitare siti Web WordPress legittimi e compromessi utilizzando i risultati di ricerca di Google dirottati. Presentano ai visitatori di questi siti una bacheca online simulata e collegano al malware una “conversazione” simulata in cui un falso visitatore pone a un falso amministratore del sito l’esatta domanda a cui la vittima stava cercando una risposta.<\/p>\n

Gran parte del processo di infezione \u00e8 guidato da un codice che gira sul server WordPress compromesso e su un altro server che abbiamo precedentemente chiamato \u201c mothership\u201d<\/a> che orchestra una danza elaborata e complessa per produrre dinamicamente una pagina che apparentemente risponde alla domanda esatta che state ponendo<\/a>. Gli operatori di Gootloader apportano modifiche dietro le quinte, quasi impercettibili, ai siti WordPress compromessi che fanno s\u00ec che questi ultimi carichino il contenuto extra dalla mothership.<\/p>\n

Ogni aspetto di questo processo \u00e8 offuscato a tal punto che persino i proprietari delle pagine WordPress compromesse spesso non sono in grado di identificare le modifiche nel proprio sito o di attivare il codice Gootloader quando visitano le proprie pagine. Allo stesso tempo, a meno che non si controlli uno dei siti WordPress colpiti, pu\u00f2 essere molto difficile (se non impossibile) entrare in possesso di questo codice per studiarlo: Le voci modificate del database di WordPress e gli script PHP che compongono Gootloader risiedono solo sul server compromesso, dove i ricercatori di sicurezza normalmente non possono accedervi (a meno di un accesso fisico o di shell al server stesso).<\/p>\n

In precedenza, Sophos X-Ops aveva gi\u00e0 parlato di vari aspetti di Gootloader<\/a>. Tuttavia, ha ricostruito il funzionamento delle operazioni lato server di Gootloader, utilizzando le briciole di pane e gli indizi lasciati sia dagli aggressori sia da altri ricercatori di sicurezza e pubblicati su Internet negli strumenti open-source. Abbiamo raccolto tutte queste informazioni in questo rapporto.<\/p>\n

Continua a leggere l\u2019articolo completo<\/a>.<\/p>\n

\n
\n

Share this:<\/h3>\n
\n