Speaker
Description
Il presente lavoro analizza un attacco malware riuscito ai danni di un sito WordPress, con un focus specifico sul reverse engineering di plugin malevoli scritti in PHP. Il codice dannoso sfrutta PHP e JavaScript esterno per eseguire azioni illecite e implementa tecniche di offuscamento, tra cui encoding ASCII/Hex e manipolazione dinamica delle variabili.
Uno degli aspetti chiave del codice offuscato riguarda la sostituzione ricorsiva delle variabili e l'uso dell'istruzione <goto>, impiegate per confondere il flusso di esecuzione ed eludere i meccanismi di analisi statica. Attraverso un approccio combinato di analisi statica, è stato possibile deoffuscare il codice, ripristinare la logica esecutiva originale e individuare i meccanismi di comunicazione con server remoti. L’analisi è stata condotta in un ambiente isolato e controllato, garantendo la sicurezza dell’infrastruttura di test.
I risultati dello studio hanno permesso di valutare la reale pericolosità del malware, evidenziando le sue capacità di evasione, persistenza, tecniche e portata dell’attacco.
