Redazione RHC : 23 Ottobre 2024 10:30
Gli hacker stanno attivamente hackerando i siti WordPress per installare plugin dannosi e distribuire falsi aggiornamenti del browser che nascondono software per il furto di dati.
Dal 2023, una campagna chiamata ClearFake infetta i siti web compromessi, mostrando banner con falsi aggiornamenti del browser. Nel 2024 è apparso un nuovo analogo: ClickFix, che simula i messaggi di errore di programmi con presunte “correzioni” integrate. Queste “patch” attivano gli script PowerShell che scaricano e installano malware.
ClickFix è stato recentemente utilizzato per creare notifiche false in servizi popolari come Google Chrome, Google Meet e Facebook. Gli hacker sostituiscono anche i captcha per convincere gli utenti a eseguire un “aggiornamento”.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La settimana scorsa, GoDaddy ha riferito che gli aggressori avevano violato più di 6.000 siti WordPress per installare plugin falsi utilizzati per implementare queste notifiche false. Il ricercatore di sicurezza Denis Sinegubko ha spiegato che i plugin si mascherano da innocui e copiano addirittura i nomi di estensioni legittime come Wordfence Security e LiteSpeed Cache.
Gli aggressori creano anche plugin con nomi fittizi, tra cui Universal Popup Plugin, SEO Booster Pro e Custom CSS Injector. Questi plugin inseriscono script JavaScript dannosi nel codice HTML dei siti, portando alla visualizzazione di notifiche false.
L’analisi dei registri dei server Web mostra che gli hacker utilizzano i dati dell’amministratore rubati per accedere automaticamente ai siti. L’hacking avviene tramite una singola richiesta POST, bypassando la pagina di accesso standard, che indica le credenziali pre-ottenute.
Le ragioni della fuga di dati rimangono poco chiare, ma i ricercatori ipotizzano che potrebbero essere stati ottenuti tramite attacchi di phishing, forza bruta o malware. Se vengono rilevate notifiche false, si consiglia agli amministratori del sito di controllare immediatamente l’elenco dei plug-in, rimuovere quelli sospetti e modificare le password con password univoche.
RedazioneIl CERT-AgID recentemente aveva avvertito che molte istanze pubbliche non sono ancora state aggiornate e tra queste 70 sono relative a banche, assicurazioni e pubbliche amministrazioni italiane. Ora l...
Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Ques...
Il progetto Cyberpandino non è solo un’idea folle, ma una grande avventura su quattro ruote progettata e realizzata da due menti brillanti romane – Matteo Errera e Roberto Zaccardi ...
Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...
A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
