Un nuovo e sofisticato malware sta colpendo i siti WordPress, sfruttando una strategia particolarmente subdola: si presenta come un innocuo e legittimo plugin di sicurezza.
A lanciare l’allarme è Wordfence, società leader nella sicurezza per WordPress, che ha analizzato nel dettaglio questa nuova minaccia.
Un plugin che apre le porte agli attaccanti
Il malware si traveste da plugin anti-malware, con un nome ingannevole e una struttura del codice apparentemente professionale. Tuttavia, una volta installato, apre una backdoor che consente agli attaccanti di prendere il controllo del sito, di nascondersi dalla dashboard di amministrazione di WordPress e di eseguire codice dannoso da remoto. La backdoor dispone inoltre di una funzione che invia informazioni a un server C2, si diffonde in altre directory e inietta codice JavaScript dannoso, che viene poi utilizzato per visualizzare pubblicità indesiderate. Ulteriori analisi hanno rivelato che il malware utilizza anche un parametro per l’accesso amministrativo immediato tramite la fornitura di una password. Inoltre sfrutta sistemi per evitare di comparire nella lista dei plugin attivi o per alterare i log di sistema, rendendo difficile la rilevazione manuale.
I consigli agli amministratori
Si consiglia a tutti gli amministratori di siti WordPress di:
- Scaricare plugin solo da fonti ufficiali e affidabili.
- Evitare plugin sconosciuti con poche recensioni o download.
- Monitorare regolarmente l’elenco degli utenti e dei plugin installati.
- Utilizzare soluzioni di sicurezza per una protezione proattiva.
Questo nuovo malware dimostra quanto possano essere ingannevoli le minacce informatiche moderne, soprattutto nel mondo dei CMS come WordPress. La fiducia cieca verso plugin apparentemente utili può trasformarsi in una grave vulnerabilità se non si adottano pratiche di sicurezza rigorose.
“In base ai timestamp e ad altre prove raccolte durante la pulizia del sito, l’infezione sembra essere iniziata dal file wp-cron.php. I dati indicano che questa infezione potrebbe essere stata causata da un account di hosting compromesso o da credenziali FTP compromesse. Purtroppo, al momento della nostra indagine non avevamo a disposizione log per confermare tale ipotesi.“, conclude il rapporto. Il file wp-cron.php fa parte di WordPress, viene utilizzato per pianificare le attività di WordPress e attivato quando il sito viene visitato: il codice dannoso pertanto viene richiamato con una semplice visita al sito. Wordfence ha rilasciato una firma malware specifica per la rilevazione.
Il malware sarebbe stato individuato dagli analisti con questi nomi: WP-antymalwary-bot.php, addons.php, wpconsole.php, wp-performance-booster.php, scr.php.
