WordPress nel mirino: scoperto plugin malware che si finge strumento di sicurezza

Notizie
Di Pubblicato

Il codice sfrutta l’IA per sembrare affidabile, ma nasconde funzioni pericolose e persiste anche dopo la rimozione

WordPress logo on mobile
(Immagine:: Shutterstock)

I ricercatori di sicurezza hanno individuato un nuovo malware per WordPress che si maschera da soluzione antimalware. A fine aprile, Marko Wotschka del team Wordfence ha pubblicato un post sul blog in cui descrive un malware “interessante” che si presenta nel file system come un normale plugin WordPress, spesso con il nome ‘WP-antymalwary-bot.php’.

Sebbene inizialmente sembri innocuo, l’analisi ha rivelato che questo plugin contiene diverse funzioni dannose: consente agli attaccanti di mantenere l’accesso al sito compromesso, nasconde la propria presenza dalla dashboard di WordPress e permette l’esecuzione remota di codice.

Il malware include anche una funzionalità di “ping” per comunicare con un server di comando e controllo (C&C), oltre a codice progettato per diffondere il malware in altre directory e iniettare JavaScript malevolo con lo scopo di servire annunci pubblicitari indesiderati.

Account di hosting compromessi

Wordfence ha scoperto per la prima volta il plugin malevolo durante un intervento di pulizia su un sito WordPress nel gennaio 2025, quando ha identificato un file ‘wp-cron.php’ modificato.

Questo file aveva il compito di creare e attivare automaticamente il malware, che è stato individuato anche sotto altri nomi, tra cui “addons.php”, “wpconsole.php”, “wp-performance-booster.php” e “scr.php”.

Anche se un amministratore del sito dovesse cancellare il plugin, il file wp-cron è programmato per ricrearlo e riattivarlo automaticamente.

Wordfence non è riuscita a identificare i responsabili dell’attacco né a chiarire come siano riusciti a compromettere i siti. L’assenza di log utili ha portato i ricercatori a ipotizzare che l’infezione sia avvenuta tramite un account hosting compromesso o credenziali FTP violate. È stato possibile solo stabilire che il server di comando e controllo si trova a Cipro e che un attacco simile era già stato osservato nel giugno 2024.

Un altro aspetto interessante del malware è l’apparente utilizzo di intelligenza artificiale generativa nella scrittura del codice. Non è tanto l’uso dell’IA in sé a colpire, quanto il fatto che essa consenta ai cybercriminali di produrre malware dall’aspetto molto più credibile.

Via BleepingComputer

TOPICS
Patrizio Coccia

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.