Redazione RHC : 23 Ottobre 2024 10:30
Gli hacker stanno attivamente hackerando i siti WordPress per installare plugin dannosi e distribuire falsi aggiornamenti del browser che nascondono software per il furto di dati.
Dal 2023, una campagna chiamata ClearFake infetta i siti web compromessi, mostrando banner con falsi aggiornamenti del browser. Nel 2024 è apparso un nuovo analogo: ClickFix, che simula i messaggi di errore di programmi con presunte “correzioni” integrate. Queste “patch” attivano gli script PowerShell che scaricano e installano malware.
ClickFix è stato recentemente utilizzato per creare notifiche false in servizi popolari come Google Chrome, Google Meet e Facebook. Gli hacker sostituiscono anche i captcha per convincere gli utenti a eseguire un “aggiornamento”.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
La settimana scorsa, GoDaddy ha riferito che gli aggressori avevano violato più di 6.000 siti WordPress per installare plugin falsi utilizzati per implementare queste notifiche false. Il ricercatore di sicurezza Denis Sinegubko ha spiegato che i plugin si mascherano da innocui e copiano addirittura i nomi di estensioni legittime come Wordfence Security e LiteSpeed Cache.
Gli aggressori creano anche plugin con nomi fittizi, tra cui Universal Popup Plugin, SEO Booster Pro e Custom CSS Injector. Questi plugin inseriscono script JavaScript dannosi nel codice HTML dei siti, portando alla visualizzazione di notifiche false.
L’analisi dei registri dei server Web mostra che gli hacker utilizzano i dati dell’amministratore rubati per accedere automaticamente ai siti. L’hacking avviene tramite una singola richiesta POST, bypassando la pagina di accesso standard, che indica le credenziali pre-ottenute.
Le ragioni della fuga di dati rimangono poco chiare, ma i ricercatori ipotizzano che potrebbero essere stati ottenuti tramite attacchi di phishing, forza bruta o malware. Se vengono rilevate notifiche false, si consiglia agli amministratori del sito di controllare immediatamente l’elenco dei plug-in, rimuovere quelli sospetti e modificare le password con password univoche.
RedazioneUn’implementazione di sicurezza urgente è stata distribuita da Apple per iOS e iPadOS al fine di sanare una falla critica zero-day. Questa vulnerabilità, riconosciuta con l’ide...
Un esperto di sicurezza informatica ha individuato falle zero-day che coinvolgono undici noti gestori di password, mettendo a rischio potenzialmente decine di milioni di utenti per il furto di credenz...
Un Initial Access Broker mette in vendita accesso ai server di Nike USA in un celebre forum underground. Un post apparso recentemente su un forum del dark web ha sollevato nuove preoccupazioni in meri...
Il Cyberpandino ha compiuto l’impensabile: attraversare continenti, deserti e catene montuose fino a raggiungere il traguardo del Mongol Rally. Un’impresa folle e visionaria, nata dall&#...
Il ricercatore BobDaHacker ha scoperto che la convalida dei punti premio dell’App di McDonalds veniva gestita solo lato client, consentendo agli utenti di richiedere articoli gratuiti come i nu...
