Wordpress, oltre 6000 siti compromessi da plugin contraffatti

Una nuova minaccia sta colpendo i siti WordPress con l'installazione di plugin dannosi che diffondono malware tramite falsi avvisi di aggiornamento ed errori software. Questi malware sarebbero destinati al furto di informazioni andando ad aggravare un quadro che nel corso degli ultimi anni è divenuto di particolare preoccupazione.

GoDaddy ha recentemente rilevato la compromissione di oltre 6.000 siti WordPress, vittime di due campagne malware correlate: ClearFake, attiva dal 2023, e ClickFix, emersa nel 2024. Denis Sinegubko, ricercatore di sicurezza presso GoDaddy, ha identificato una nuova variante di questo malware che si propaga attraverso plugin WordPress apparentemente legittimi.

La tecnica utilizzata è particolarmente insidiosa: i cybercriminali installano plugin che imitano software legittimi e popolari come Wordfence Security e LiteSpeed Cache, o utilizzano nomi generici come "Universal Popup Plugin", quest'ultimo identificato dall'azienda di sicurezza Sucuri. Questi plugin, una volta installati, iniettano script JavaScript dannosi nel codice HTML del sito.

Lo script carica a sua volta un ulteriore file JavaScript supplementare, memorizzato in uno smart contract sulla Binance Smart Chain (BSC). Questo secondo script attiva i banner fraudolenti di ClearFake o ClickFix, che possono presentarsi come falsi aggiornamenti per Google Chrome, errori di Google Meet, problemi con Facebook o pagine captcha contraffatte, con l'obiettivo di spingere gli utenti a cliccare sugli avvisi per installare un presunto aggiornamento che invece scarica malware, solitamente trojan di accesso remoto e info-stealer come Vidar Stealer e Lumma Stealer.

L'analisi dei log dei server ha rivelato che gli attaccanti utilizzano credenziali amministrative precedentemente sottratte per accedere ai siti presi di  mira. La modalità di accesso, che avviene attraverso singole richieste HTTP POST senza passare dalla pagina di login, suggerisce l'esistenza di un processo automatizzato e non un'attività condotta manualmente. Secondo i ricercatori di sicurezza, le credenziali potrebbero essere state ottenute attraverso attacchi bruteforce, campagne di phishing o precedenti compromissioni da malware.

Chi si trova ad amministrare un sito WordPress dovrà prestare particolare attenzione: nel caso di segnalazioni di avvisi sospetti da parte degli utenti, è fondamentale procedere immediatamente a un controllo approfondito dei plugin installati, rimuovendo quelli non riconosciuti. Vale anche il consiglio, nel caso si riscontrino attività o dettagli sospetti, di reimpostare le password di tutti gli account amministrativi, utilizzando credenziali uniche e robuste per ciascun sito.