Negli ultimi giorni, molti dei siti realizzati con il CMS Magento sono stati infettati da un nuovo malware.

magento-guruncsiteIn questo fine settimana, i ricercatori di Sicuri Labs hanno dichiarato che l’attacco comporta l’iniezione di script maligni attraverso iframe da guruincsite.com.

Ci sono due versioni modificate di infezione. Mentre una è offuscata, l’altra non lo è – al momento considerata dal team di sicurezza un faro virtuale per tenere traccia del dominio maligno coinvolto in questo ultimo attacco ai sistemi di content management.

A tal proposito, Google avrebbe già blacklistato 8.000 siti web infetti nel corso degli ultimi 90 giorni.

I webmaster, i cui siti sono stati coinvolti, confermano che il codice maligno è stato rilevato in aspetti di progettazione dei loro sistemi CMS Magento, in particolare nel piè di pagina.
La rimozione di questi script e l’invio dei siti web puliti a Google per la revisione, garantisce la rimozione di quest’ultimi dalla “lista nera”.

Secondo Sucuri, che sta indagando sulla diffusione di Guruincsite, l’incipit dell’attacco è stato dovuto a una delle estensioni di terze parti che hanno permesso a quest’ultimo di infettare migliaia di siti in breve tempo.

Tuttavia il vettore di attacco effettivo è ancora da scoprire, per questo è necessario comunque aggiornare il proprio cms Magento e considerare l’utilizzo di firewall.
Se inoltre notate utenti admin non identificati all’interno del vostro sistema, l’azione migliore è quella di provvedere subito alla loro rimozione.