Redazione RHC : 13 Ottobre 2023 16:35
Gli analisti di Defiant, la società dietro lo sviluppo del plugin di sicurezza Wordfence per WordPress, hanno scoperto un nuovo malware che finge di essere un normale plugin di caching. In realtà, il malware è una backdoor multifunzionale in grado di controllare altri plugin, nascondersi dal rilevamento sui siti compromessi e sostituire contenuti e reindirizzare gli utenti a risorse dannose.
I ricercatori scrivono che la backdoor è “professionalmente” mascherata da uno strumento di memorizzazione nella cache, il che dovrebbe aiutare a ridurre il carico del server e ridurre i tempi di caricamento della pagina. In questo caso il plugin viene configurato in modo tale da autoescludersi dalla lista dei plugin attivi ed evitare possibili controlli.
Secondo gli specialisti di Defiant, il malware ha le seguenti capacità.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Creazione di nuovi utenti: Crea un utente denominato “superadmin” con una password codificata e diritti a livello di amministratore e la seconda funzione può eliminare questo utente per cancellare tracce di infezione.
Rilevamento dei bot: Quando i visitatori del sito risultano essere bot (come i crawler dei motori di ricerca), il malware mostra loro altri contenuti, di spam, costringendoli a indicizzare i contenuti dannosi sul sito compromesso. Pertanto, gli amministratori potrebbero notare un improvviso aumento del traffico o reclami degli utenti che rilevano reindirizzamenti a risorse dannose.
Sostituzione dei contenuti: Il malware può modificare i post e il contenuto della pagina, nonché inserire collegamenti e pulsanti spam nel sito. In questo caso, all’amministratore del sito vengono mostrati i contenuti non modificati per evitare il rilevamento.
Controllo sui plugin: Gli operatori della backdoor possono attivare o disattivare da remoto il plugin WordPress sui siti compromessi, nonché rimuovere le tracce di questa attività dal database del sito in modo che questa attività rimanga nascosta.
Chiamata remota: La backdoor verifica la presenza di determinate stringhe nello user agent, che consentono agli aggressori di attivare da remoto varie funzioni dannose.
“Collettivamente, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a scapito del posizionamento SEO del sito e della privacy dei suoi utenti”, scrivono gli esperti.
Defiant non dice quanti siti sono già stati interessati da questo plugin e sottolinea inoltre che il vettore dell’accesso iniziale alle risorse è ancora sconosciuto.
RedazioneLa frase “Costruiremo sicuramente un bunker prima di lanciare l’AGI” dal quale prende spunto l’articolo, è stata attribuita a uno dei leader della Silicon Valley, anche se non è chiaro a chi...
Negli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
