10.000 Siti WordPress Violati per Diffondere Malware

Oltre 10.000 siti web WordPress sono stati violati per distribuire malware mirati agli utenti di Windows e macOS, hanno rivelato questa settimana i ricercatori di sicurezza su c/side.

Gli aggressori hanno iniettato JavaScript maligno in siti WordPress obsoleti, ingannando i visitatori a scaricare finti aggiornamenti del browser che installano software dannosi.

I cybercriminali dietro questa campagna hanno iniettato JavaScript malevolo in siti WordPress vulnerabili. Quando un visitatore arriva su una pagina infetta, il suo browser carica un falso prompt di aggiornamento all’interno di un frame invisibile. Se un utente scarica e installa il presunto aggiornamento, infetta inconsapevolmente il proprio dispositivo con malware.

Questo metodo segna una deviazione dalle tattiche precedenti, poiché è la prima istanza conosciuta di AMOS e SocGholish consegnati attraverso un attacco lato client. Invece di reindirizzare gli utenti a un sito maligno separato, il malware viene iniettato direttamente nella loro sessione di browser.

Il malware AMOS è progettato per rubare dati sensibili dagli utenti Mac, inclusi password, informazioni delle carte di credito e portafogli di criptovalute. Viene venduto su forum di hacker e canali Telegram, rendendolo facilmente accessibile ai cybercriminali.

SocGholish, che prende di mira gli utenti Windows, viene spesso utilizzato per installare ulteriori malware, come ransomware o keylogger, camuffandosi come un legittimo aggiornamento software.

È probabile che gli hacker abbiano ottenuto l’accesso a questi siti WordPress sfruttando plugin e temi obsoleti. Poiché molti siti web non dispongono di un monitoraggio attivo per gli attacchi lato client, gli script maligni sono rimasti non rilevati per un periodo prolungato.

Gli esperti di sicurezza hanno identificato diversi domini sospetti coinvolti nell’attacco, tra cui **blackshelter[.]org** e **blacksaltys[.]com**, che reindirizzavano gli utenti a siti ospitanti malware. Lo script maligno è stato inoltre trovato su una rete di distribuzione di contenuti molto utilizzata, rendendo più difficile la rilevazione.

Per mantenere la sicurezza, si invita i proprietari di siti web a aggiornare le loro installazioni e i plugin di WordPress, a controllare la presenza di script insoliti e a rimuovere eventuali file sospetti. Gli utenti che potrebbero aver scaricato file da siti infetti dovrebbero eseguire una scansione completa del sistema e controllare i loro dispositivi alla ricerca di malware.

La campagna evidenzia le crescenti minacce poste dai cybercriminali che sfruttano le vulnerabilità dei siti web per infettare gli utenti con malware. I ricercatori di sicurezza continuano a monitorare l’attacco e avvertono che potrebbero esserci ancora siti web compromessi che diffondono l’infezione.