Un nuovo post pubblicato poche ore fa sul forum underground Exploit rivela l’ennesima offerta criminale legata alla vendita di accessi a siti compromessi. L’inserzionista, un utente storico del forum noto per la sua attività da seller, ha messo in vendita un negozio online italiano basato su WordPress, completo di accesso amministratore e con plugin attivi e funzionanti.

Secondo quanto riportato, il sito compromesso non sarebbe un semplice shop qualunque: l’annuncio include infatti dettagli operativi sul volume delle transazioni, suddivise per metodo di pagamento e mese di attività. Numeri che fanno pensare a un e-commerce pienamente funzionante, utilizzato dagli attaccanti come leva per rendere l’offerta più appetibile sul mercato criminale.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Print Screen dal forum exploit.in fornita da Paragon Sec

Chi sono gli Initial Access broker (IaB)

Gli Initial Access Broker (IAB) sono attori criminali specializzati nel guadagnare e rivendere l’accesso iniziale a sistemi, reti o infrastrutture compromesse. A differenza dei gruppi ransomware o dei threat actor più complessi, gli IAB non eseguono direttamente l’attacco finale: il loro ruolo è quello di infiltrarsi in un target sfruttando vulnerabilità dei sistemi, credenziali rubate, configurazioni errate o tecniche di social engineering. Una volta ottenuto l’accesso – che può essere un account VPN, un pannello RDP, un’installazione WordPress compromessa, un accesso cloud o un’intera infrastruttura – lo mettono in vendita nei forum underground, rendendolo disponibile ad altri criminali più specializzati. Il modello di business è chiaro: monetizzare l’ingresso, non l’attacco.

Per questo motivo gli Initial Access Broker rappresentano oggi uno degli anelli più importanti dell’ecosistema cybercriminale. I gruppi ransomware-as-a-service, i data broker, gli operatori di botnet e gli specialisti di frodi acquistano da loro il punto di accesso già pronto per l’uso, accelerando enormemente i tempi di intrusione e abbassando la barriera tecnica per chi vuole lanciare attacchi distruttivi.

Questa divisione del lavoro rende gli attacchi più rapidi, più organizzati e più difficili da rilevare. Gli IAB operano spesso su piattaforme come Exploit, XSS o BreachForums, dove pubblicano annunci con metriche dettagliate (privilegi, geolocalizzazione, volume di traffico, tipo di accesso), contribuendo a creare un vero e proprio mercato nero dell’accesso iniziale.

Dettagli dell’offerta

L’accesso in vendita riguarda un WordPress Shop italiano, con pieno accesso all’area amministrativa (WP-admin). L’annuncio specifica che il sito utilizza vari metodi di pagamento, inclusi:

• Stripe
• PayPal
• Contrassegno (COD)
• Bonifico bancario

Statistiche condivise dal venditore

L’inserzionista mostra le vendite recenti del negozio per dimostrare la sua “legittimità” e attrattività nel mercato nero:

• Novembre: oltre 370 ordini
  
  • 123 tramite Stripe
  • 148 tramite PayPal
  • 81 in contrassegno
  • Il resto tramite bonifico

  
  

• Dicembre: 58 ordini
  
  • 15 tramite Stripe
  • 22 tramite PayPal
  • 12 in contrassegno
  • 7 tramite bonifico

  
  

Il venditore sottolinea inoltre che gli ordini sono “100% unici”, frase tipicamente usata negli ambienti criminali per rassicurare i compratori sul fatto che non si tratti di dati riciclati o già venduti ad altri.

Prezzi richiesti

L’offerta segue la tipica struttura di pricing del mercato cybercriminale:

• Start: 400
• Step: 100 (incrementi di rilancio)
• Blitz: 800 (acquisto immediato)
• PPS: 16

La modalità “asta” è comune, soprattutto per asset che possono generare profitti immediati, come store online compromessi utilizzati per campagne di frodi finanziarie, triangolazioni o attività di drop-shipping illegale.

Un’offerta collocata in un contesto criminale più ampio

L’inserzionista promuove anche altri servizi e exploit nel footer del post, tra cui:

• Vulnerabilità RCE con bypass Cloudflare
• Database premium (shopping, forex, seekers/job)
• Lead spam
• E altri servizi di attacco

Questo rafforza la sua credibilità nel forum e mostra come la vendita di accessi a shop WordPress si inserisca in un portafoglio più ampio di attività criminali.

Perché questo post è rilevante nel panorama della cybercriminalità

La vendita di siti WordPress compromessi – soprattutto e-commerce – è diventata una pratica diffusa per diversi scopi:

1. Frodi finanziarie

Gli attaccanti possono sfruttare i metodi di pagamento integrati per:

• Processare transazioni fraudolente
• Vendere beni virtuali/non spediti
• Utilizzare il sito come ponte per outgoing fraudolenti

2. Distribuzione di malware

I plugin o l’area admin possono essere usati per:

• Inserire script malevoli
• Reindirizzare utenti verso phishing o exploit kit
• Compromettere checkout e form di pagamento (skimming)

3. Raccolta dati dei clienti

Email, numeri di telefono, indirizzi e dati di pagamento possono essere rivenduti o utilizzati in altre campagne criminali.

4. Triangolazioni e logistica clandestina

Gli store ancora operativi possono essere sfruttati come “negozi fantasma” per truffe con merce reale, un modus operandi noto nelle frodi da e-commerce.

Conclusioni

L’annuncio apparso su Exploit rappresenta un chiaro esempio di come gli e-commerce WordPress vulnerabili vengano monetizzati nel mercato underground. La presenza di statistiche dettagliate e la segmentazione dei metodi di pagamento indica un livello di professionalità ormai consolidato tra i venditori di accessi compromessi.

Per le aziende italiane che gestiscono shop online, episodi come questo sottolineano l’urgenza di:

• mantenere aggiornati plugin e CMS
• implementare misure di hardening
• monitorare regolarmente accessi e attività sospette
• eseguire vulnerability assessment periodici

In un contesto dove la vendita di asset compromessi è così strutturata e dinamica, la sicurezza diventa più che mai un requisito critico.

L'articolo Quale e-commerce italiano presto sarà compromesso? La vendita degli accessi nel Dark Web proviene da Red Hot Cyber.