Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
magazine
About

WordPress: attacchi malware WP3.XYZ colpiscono oltre 5.000 siti

Il malware WP3.XYP permetteva aggiungere amministratori non autorizzati, con lo scopo di rubare i dati degli utenti WordPress.
WordPress: attacchi malware WP3.XYZ colpiscono oltre 5.000 siti
Il malware WP3.XYP permetteva aggiungere amministratori non autorizzati, con lo scopo di rubare i dati degli utenti WordPress.
Antonello Ciccarello
Pubblicato il 16 gen 2025
Link copiato negli appunti

Una nuova campagna malware ha compromesso più di 5.000 siti WordPress per creare account amministratore, installare un plugin dannoso e rubare dati. I ricercatori della società di sicurezza webscript c/side hanno scoperto durante un intervento di incident response per uno dei loro clienti che l'attività dannosa utilizza il dominio wp3[.]xyz per esfiltrare dati. Tuttavia, non è stato ancora possibile determinare quale sia il vettore di infezione iniziale.

WordPress: come funziona l’attacco ai siti compromessi

Dopo aver compromesso un obiettivo, uno script dannoso caricato dal dominio wp3[.]xyz crea l'account amministratore non autorizzato wpx_admin con credenziali disponibili nel codice. Lo script procede quindi all'installazione di un plugin dannoso (plugin.php) scaricato dallo stesso dominio e lo attiva sul sito web compromesso. Secondo c/cide, lo scopo del plugin è raccogliere dati sensibili, come credenziali e registri dell'amministratore. In seguito, questi vengono inviati al server dell'autore della minaccia in modo offuscato, facendoli apparire come una richiesta di immagine. L'attacco prevede anche diversi passaggi di verifica. Tra questi vi è ad esempio la registrazione dello stato dell'operazione dopo la creazione dell'account amministratore non autorizzato e la verifica dell'installazione del plugin dannoso.

c/side raccomanda ai proprietari di siti web di bloccare il dominio "wp3[.]xyz" tramite firewall e strumenti di sicurezza. Inoltre, gli amministratori dei siti dovrebbero esaminare altri account privilegiati e l'elenco dei plugin installati, per identificare attività non autorizzate e rimuoverle il prima possibile. Infine, si raccomanda di rafforzare le protezioni da CSRF sui siti WordPress tramite generazione di token univoci, convalida lato server e rigenerazione periodica. I token dovrebbero avere un breve periodo di scadenza per limitare il loro periodo di validità. L'implementazione dell'autenticazione a più fattori aggiunge inoltre protezione agli account con credenziali che sono già state compromesse. Questo tipo di accortezze, potrebbero evitare che dei cybercriminali si approprino facilmente dei dati di utenti ignari.

Ti consigliamo anche

Con questo tool elimini i tuoi dati dal web e proteggi la tua privacy
VPN

Con questo tool elimini i tuoi dati dal web e proteggi la tua privacy
È successo di nuovo, donna francese truffata da un falso Brad Pitt
Privacy e sicurezza

È successo di nuovo, donna francese truffata da un falso Brad Pitt
Truffe online: hacker rubano account tramite pubblicità di Google
Privacy e sicurezza

Truffe online: hacker rubano account tramite pubblicità di Google
Truffe telefoniche: attenzione alla nuova tecnica
Privacy e sicurezza

Truffe telefoniche: attenzione alla nuova tecnica "squilla e chiudi"