Aggiornamenti recenti Agosto 25th, 2025 4:15 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- File Linux usati per furto di dati e spionaggio: la campagna di APT36
- CERT-AGID 16-22 agosto: registrato il primo abuso di Action1
- Prompt injection nelle immagini: l’image scaling trasforma un JPEG in un esfiltratore
- Static Tundra sfrutta una vecchia vulnerabilità Cisco per spionaggio
- Lenovo, il chatbot AI “Lena” era troppo loquace
Siti WordPress hackerati, la nuova evoluzione di ClickFix
Oltre 6.000 siti WordPress hackerati per installare plugin che permettono ai criminali informatici di appropriarsi di una grande quantità di informazioni. Negli ultimi due anni, i malware che rubano dati si stanno diffondendo a macchia d’olio e sono finiti nel mirino degli esperti di sicurezza informatica. Anche perché parliamo di attacchi che hanno un effetto amplificato: le credenziali sottratte con l’inganno vengono usate per violare le reti e rubare altri dati.
L’aggiornamento pirata
La minaccia responsabile di questi attacchi a WordPress è un’evoluzione del malware ClickFix. Gli esperti in sicurezza di GoDaddy hanno raccontato che agisce camuffandosi da aggiornamento del browser e viene distribuito attraverso falsi plugin WordPress.
Tra questi ci sono, ad esempio, “Universal Popup Plugin”, “Wordfence Security Classic”, “SEO Booster Pro” piuttosto che “Admin Bar Customizer”. Come si può notare, alcuni nomi sono molto simili a quelli dei plugin legittimi, mentre altri sono completamente inventati ma plausibili.
Come agisce il plugin dannoso
I malware responsabili dei siti WordPress hackerati agiscono in modo molto simile alle campagne di tipo ClickFix o ClearFake, o meglio sono una sorta di combinazione tra le due. ClickFix, infatti, mostra finti messaggi di errore spingendo le vittime ad agire per risolverli, mentre ClearFake visualizza banner falsi.
Il finto plugin di WordPress, una volta installato, agisce iniettando JavaScript dannoso nell’HTML del sito. Si innesca una catena di azioni che portano a caricare lo script ClearFake o ClickFix. A quel punto l’utente visualizza un messaggio fasullo che lo spinge a compiere l’azione fatale.
Gli esperti in sicurezza hanno evidenziato che gli autori della minaccia accedono tramite una singola richiesta HTTP POST anziché visitare prima la pagina di accesso dei siti WordPress hackerati. Sono quindi già in possesso delle credenziali prima dell’attacco realizzato tramite il plugin.
Evitare che i siti WordPress vengano hackerati
Chiunque utilizzi WordPress, nel caso di messaggi sospetti, dovrebbe verificare immediatamente l’elenco dei plugin installati. Di fronte a un plugin sospetto o sconosciuto è bene rimuoverlo e re-impostare immediatamente le password di tutti gli utenti amministratori. Bisogna anche scegliere, ovviamente, una password forte e cambiarla con regolarità.
Condividi l'articolo
Il tracciamento digitale è senza regole: il caso Babel Street e gli impatti sugli utenti
Trovate credenziali cloud hardcoded e in chiaro in numerose applicazioni
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
File Linux usati per furto di dati e spionaggio: la... Il gruppo pakistano APT36, noto anche come Transparent... -
CERT-AGID 16-22 agosto: registrato il primo abuso di La scorsa settimana il CERT-AGID ha rilevato 81 campagne... -
Prompt injection nelle immagini: l’image scaling... Un’immagine apparentemente innocua, inviata a un... -
Static Tundra sfrutta una vecchia vulnerabilità Cisco per... Un gruppo di cyber spionaggio legato ai servizi segreti... -
Lenovo, il chatbot AI “Lena” era troppo loquace Il chatbot di assistenza clienti di Lenovo, chiamato Lena,...
Ransomware: la serie
No posts found.