La nuova variante del malware ClearFake (o ClickFix) sta già creando preoccupazioni significative nel mondo di WordPress. I ricercatori di GoDaddy hanno rilevato che questa campagna sfrutta credenziali rubate o acquistate per accedere agli account di amministrazione dei siti.
Una volta entrati, gli attaccanti installano un plugin che sembra innocuo, ma che in realtà è malevolo. Gli utenti vengono quindi ingannati a scaricare un aggiornamento, che si rivela essere un malware progettato per rubare dati sensibili o eseguire altre attività dannose. È fondamentale che i gestori di siti WordPress siano vigili, utilizzino password forti e attivino l'autenticazione a due fattori per proteggere i propri account.
Migliaia di siti web compromessi
Di recente, una nuova variante del malware ClearFake (noto anche come ClickFix) è stata individuata in natura, compromettendo migliaia di siti web WordPress. Secondo i ricercatori di GoDaddy, questa campagna si basa sull'installazione di plugin dannosi nei siti web. Gli attaccanti utilizzano credenziali rubate per accedere agli account di amministrazione di WordPress e installare plugin apparentemente innocui.
Questi plugin, progettati per sembrare legittimi, contengono script dannosi che inviano false richieste di aggiornamento del browser agli utenti. Tra i plugin identificati finora, troviamo:
LiteSpeed Cache Classic
MonsterInsights Classic
Wordfence Security Classic
Search Rank Enhancer
SEO Booster Pro
Google SEO Enhancer
Rank Booster Pro
Admin Bar Customizer
Advanced User Manager
Advanced Widget Manage
Content Blocker
Universal Popup Plugin
Queste applicazioni, che portano nomi noti nel mondo di WordPress, riescono a ingannare gli amministratori, facendo sembrare innocui gli aggiornamenti. È fondamentale rimanere vigili e monitorare l’uso di questi plugin per prevenire attacchi informatici.
