WordPress: oltre 6.000 siti compromessi da plugin contraffatti

Un nuovo pericolo si nasconde per i siti WordPress: plugin dannosi che diffondono malware tramite falsi avvisi di aggiornamento ed errori software. Questi malware sono progettati per rubare informazioni, aggravando un quadro già preoccupante negli ultimi anni.

GoDaddy ha recentemente rilevato la compromissione di oltre 6.000 siti WordPress, vittime di due campagne malware correlate: ClearFake, attiva dal 2023, e ClickFix, emersa nel 2024. I ricercatori di sicurezza hanno identificato una nuova variante di questo malware che si propaga attraverso plugin WordPress apparentemente legittimi.

La tecnica utilizzata è insidiosa: i cybercriminali installano plugin che imitano software legittimi e popolari come Wordfence Security e LiteSpeed Cache, o utilizzano nomi generici come “Universal Popup Plugin“. Questi plugin, una volta installati, iniettano script JavaScript dannosi nel codice HTML del sito.

Leggi anche:

• 5 consigli per ottimizzare al meglio il tuo sito WordPress

Lo script carica a sua volta un ulteriore file JavaScript supplementare, memorizzato in uno smart contract sulla Binance Smart Chain (BSC). Questo secondo script attiva i banner fraudolenti di ClearFake o ClickFix, che possono presentarsi come falsi aggiornamenti per Google Chrome, errori di Google Meet, problemi con Facebook o pagine captcha contraffatte.

L’obiettivo è spingere gli utenti a cliccare sugli avvisi per installare un presunto aggiornamento che invece scarica malware, solitamente trojan di accesso remoto e info-stealer come Vidar Stealer e Lumma Stealer.

L’analisi dei log dei server ha rivelato che gli attaccanti utilizzano credenziali amministrative precedentemente sottratte per accedere ai siti presi di mira. La modalità di accesso, che avviene attraverso singole richieste HTTP POST senza passare dalla pagina di login, suggerisce l’esistenza di un processo automatizzato e non un’attività condotta manualmente.

I ricercatori di sicurezza sospettano che le credenziali potrebbero essere state ottenute attraverso attacchi bruteforce, campagne di phishing o precedenti compromissioni da malware.

Chi si trova ad amministrare un sito WordPress dovrà prestare particolare attenzione:

• Nel caso di segnalazioni di avvisi sospetti da parte degli utenti, è fondamentale procedere immediatamente a un controllo approfondito dei plugin installati, rimuovendo quelli non riconosciuti.
• Vale anche il consiglio, nel caso si riscontrino attività o dettagli sospetti, di reimpostare le password di tutti gli account amministrativi, utilizzando credenziali uniche e robuste per ciascun sito.

Fonte

Ti potrebbe interessare:

• Non cadere nella trappola: evita queste app piene di pubblicità

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Telegram: t.me/guruhitech
• Facebook: facebook.com/guruhitechweb
• Twitter: twitter.com/guruhitech1
• Threads: threads.net/@guru_hi_tech
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Ti è stato utile questo articolo? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo guruhitech@yahoo.com.