2024-10-25 14:15:30 Author: www.securityinfo.it(查看原文) 阅读量:0 收藏
Siti WordPress hackerati, la nuova evoluzione di ClickFix
Oltre 6.000 siti WordPress hackerati per installare plugin che permettono ai criminali informatici di appropriarsi di una grande quantità di informazioni. Negli ultimi due anni, i malware che rubano dati si stanno diffondendo a macchia d’olio e sono finiti nel mirino degli esperti di sicurezza informatica. Anche perché parliamo di attacchi che hanno un effetto amplificato: le credenziali sottratte con l’inganno vengono usate per violare le reti e rubare altri dati.
L’aggiornamento pirata
La minaccia responsabile di questi attacchi a WordPress è un’evoluzione del malware ClickFix. Gli esperti in sicurezza di GoDaddy hanno raccontato che agisce camuffandosi da aggiornamento del browser e viene distribuito attraverso falsi plugin WordPress.
Tra questi ci sono, ad esempio, “Universal Popup Plugin”, “Wordfence Security Classic”, “SEO Booster Pro” piuttosto che “Admin Bar Customizer”. Come si può notare, alcuni nomi sono molto simili a quelli dei plugin legittimi, mentre altri sono completamente inventati ma plausibili.
Come agisce il plugin dannoso
I malware responsabili dei siti WordPress hackerati agiscono in modo molto simile alle campagne di tipo ClickFix o ClearFake, o meglio sono una sorta di combinazione tra le due. ClickFix, infatti, mostra finti messaggi di errore spingendo le vittime ad agire per risolverli, mentre ClearFake visualizza banner falsi.
Il finto plugin di WordPress, una volta installato, agisce iniettando JavaScript dannoso nell’HTML del sito. Si innesca una catena di azioni che portano a caricare lo script ClearFake o ClickFix. A quel punto l’utente visualizza un messaggio fasullo che lo spinge a compiere l’azione fatale.
Gli esperti in sicurezza hanno evidenziato che gli autori della minaccia accedono tramite una singola richiesta HTTP POST anziché visitare prima la pagina di accesso dei siti WordPress hackerati. Sono quindi già in possesso delle credenziali prima dell’attacco realizzato tramite il plugin.
Evitare che i siti WordPress vengano hackerati
Chiunque utilizzi WordPress, nel caso di messaggi sospetti, dovrebbe verificare immediatamente l’elenco dei plugin installati. Di fronte a un plugin sospetto o sconosciuto è bene rimuoverlo e re-impostare immediatamente le password di tutti gli utenti amministratori. Bisogna anche scegliere, ovviamente, una password forte e cambiarla con regolarità.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh