Allarme Sicurezza WordPress: Cyberattacchi Mirati e Nuove Minacce nelle Campagne ClearFake e ClickFix
Attenzione proprietari di siti WordPress: nuove minacce mettono a rischio la sicurezza
Recentemente, una serie di attacchi informatici ha messo in allerta la comunità di utenti WordPress. I siti basati su questa popolare piattaforma sono stati presi di mira da cybercriminali che installano plugin dannosi in grado di diffondere malware attraverso falsi avvisi di aggiornamento e errori software. Questa problematica ha peggiorato una situazione già critica, visto l’aumento degli attacchi negli ultimi anni.
GoDaddy ha scoperto che oltre 6.000 siti WordPress sono stati compromessi a seguito di due distinte campagne di malware denominate ClearFake, iniziata nel 2023, e ClickFix, emersa nel 2024. Denis Sinegubko, un esperto di sicurezza presso GoDaddy, ha identificato una nuova variante di malware che viene distribuita tramite plugin che sembrano legittimi.
La strategia adottata dai cybercriminali è subdola: installano plugin che replicano il funzionamento di software legittimi come Wordfence Security e LiteSpeed Cache, oppure utilizzano nomi generici come “Universal Popup Plugin”, un esempio documentato da Sucuri. Una volta attivati, questi plugin iniettano script JavaScript malevoli all’interno del codice HTML del sito.
Gli script dannosi caricano a loro volta ulteriori file JavaScript, conservati in uno smart contract sulla Binance Smart Chain (BSC). Questi script attivano i banner ingannevoli di ClearFake o ClickFix, che appaiono come falsi aggiornamenti per Google Chrome, errori di Google Meet, problemi con Facebook o pagine captcha false. L’obiettivo è indurre gli utenti a cliccare sugli avvisi, portandoli ad installare un “aggiornamento” che in realtà introduce nel sistema trojan di accesso remoto e info-stealer come Vidar Stealer e Lumma Stealer.
Analizzando i log dei server, è emerso che gli attaccanti accedono ai siti utilizzando credenziali amministrative rubate, mediante richieste HTTP POST che bypassano la pagina di login, indicando l’utilizzo di tecniche automatizzate anziché manuali. Secondo gli esperti, queste credenziali potrebbero essere state ottenute tramite attacchi bruteforce, campagne di phishing o compromissioni malware pregresse.
Per chi gestisce un sito WordPress, è essenziale vigilare costantemente. Di fronte a segnalazioni di avvisi sospetti, è cruciale effettuare immediatamente un’ispezione approfondita dei plugin installati, eliminando quelli non riconosciuti. Inoltre, se si notano attività o dettagli inusuali, è consigliabile reimpostare le password di tutti gli account amministrativi, preferendo credenziali uniche e sicure per ogni sito.
Consapevolezza e prevenzione: le chiavi per proteggere il tuo sito WordPress
In conclusione, la crescente sofisticatezza degli attacchi informatici richiede un’attenzione costante e misure proattive da parte di amministratori e sviluppatori web. La sicurezza di un sito web non si limita solo all’installazione di plugin e temi da fonti fidate, ma comprende anche una gestione attenta e informata delle credenziali di accesso e delle configurazioni di sicurezza. Mantenere i sistemi aggiornati e condurre audit regolari può fare la differenza nel proteggere le risorse digitali dai pericoli sempre in agguato nel vasto mondo di Internet.
Cyber Net Now
Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.