Una nuova e insidiosa minaccia sta prendendo di mira i siti web basati su WordPress: un malware che si maschera astutamente da plugin di sicurezza per infettare i sistemi e garantire agli attaccanti un accesso persistente. Questa scoperta, evidenziata dai ricercatori di sicurezza, getta luce sulle tattiche sempre più sofisticate utilizzate dai cybercriminali, che arrivano a sfruttare anche l’intelligenza artificiale per rendere i loro codici malevoli più credibili e difficili da individuare.

Per chi ha fretta

È stato scoperto un nuovo malware per WordPress che si finge un plugin di sicurezza (spesso con nomi come ‘WP-antymalwary-bot.php’). Questo codice malevolo permette agli hacker di mantenere l’accesso al sito, eseguire comandi da remoto, diffondersi in altre directory e iniettare codice dannoso per mostrare pubblicità indesiderata. Il malware persiste anche dopo la rimozione perché viene ricreato da un file di sistema modificato (wp-cron.php). Le infezioni potrebbero avvenire tramite account hosting compromessi o credenziali FTP rubate. Per proteggersi, è fondamentale mantenere WordPress, temi e plugin aggiornati, utilizzare password forti, limitare gli accessi e monitorare regolarmente i file di sistema. In caso di infezione, è necessario agire tempestivamente per rimuovere il malware e mettere in sicurezza l’ambiente di hosting.

Un Cavallo di Troia nel File System

Il malware, individuato dai ricercatori di Wordfence, si presenta nel file system di WordPress come un normale plugin, spesso con il nome ingannevole di ‘WP-antymalwary-bot.php’. L’analisi approfondita ha però rivelato la sua vera natura dannosa. Questo falso plugin è progettato per:

• Mantenere l’Accesso: Garantire agli attaccanti una backdoor per riaccedere al sito compromesso in qualsiasi momento.
• Occultare la Presenza: Nascondersi dalla dashboard amministrativa di WordPress per sfuggire al rilevamento da parte dell’utente.
• Esecuzione Remota di Codice: Consentire ai criminali di eseguire comandi arbitrari sul server compromesso.
• Propagazione e Iniezione: Contenere funzionalità per diffondere il malware in altre parti del sito o dell’hosting e iniettare codice JavaScript malevolo nelle pagine web visitate dagli utenti, spesso per visualizzare annunci pubblicitari indesiderati (malvertising).
• Comunicazione C&C: Includere un meccanismo di “ping” per comunicare con un server di comando e controllo (C&C) remoto, presumibilmente situato a Cipro in questo caso, per ricevere istruzioni o inviare dati.

Persistenza Indesiderata: il Ruolo di wp-cron.php

Uno degli aspetti più preoccupanti di questo malware è la sua capacità di persistere anche dopo un tentativo di rimozione. I ricercatori hanno scoperto che l’infezione iniziale modifica il file ‘wp-cron.php’, un componente legittimo di WordPress utilizzato per pianificare attività ricorrenti. Il file modificato contiene istruzioni per ricreare e riattivare automaticamente il plugin malware se dovesse essere cancellato. Questo meccanismo di resilienza rende la pulizia del sito molto più complessa per gli amministratori.

Il malware è stato identificato anche sotto altri nomi per rendere più difficile la sua identificazione manuale, tra cui “addons.php”, “wpconsole.php”, “wp-performance-booster.php” e “scr.php”.

Vettori di Infezione e l’Impronta dell’IA

Sebbene l’esatta modalità di infezione iniziale non sia stata definitivamente accertata nei casi analizzati, i ricercatori ipotizzano che possa essere avvenuta tramite account di hosting compromessi o credenziali FTP rubate. Questo sottolinea l’importanza della sicurezza non solo a livello di installazione di WordPress, ma anche nell’ambiente di hosting circostante. Altri vettori comuni per l’infezione di siti WordPress includono vulnerabilità in temi o plugin obsoleti, password deboli o attacchi di phishing mirati agli amministratori.

Un elemento distintivo di questo malware è il presunto utilizzo di intelligenza artificiale generativa nella scrittura del codice. Sebbene l’IA sia sempre più impiegata nello sviluppo software legittimo, il suo uso nel malware consente ai criminali di produrre codici che appaiono più “puliti”, ben strutturati e quindi potenzialmente più difficili da identificare come malevoli da parte di strumenti di analisi automatizzata meno sofisticati. Questo dimostra come i criminali si adattino e sfruttino le nuove tecnologie per migliorare le loro tecniche di attacco.

Consigli per Proteggere il Tuo Sito WordPress

Proteggere un sito WordPress da questo tipo di minacce richiede un approccio proattivo alla sicurezza:

• Aggiornamenti Costanti: Mantieni sempre aggiornato il core di WordPress, i temi e tutti i plugin alla versione più recente. Gli aggiornamenti spesso includono patch di sicurezza per vulnerabilità note che potrebbero essere sfruttate dagli attaccanti.
• Password Forti e Uniche: Utilizza password complesse e diverse per l’accesso all’area amministrativa di WordPress, all’account di hosting e all’FTP. Valuta l’utilizzo di un password manager.
• Autenticazione a Due Fattori (2FA): Abilita la 2FA per l’accesso all’area amministrativa di WordPress e all’account di hosting per un ulteriore livello di sicurezza.
• Plugin e Temi Affidabili: Scarica plugin e temi solo da fonti ufficiali e affidabili (WordPress.org, siti degli sviluppatori con buona reputazione). Evita di utilizzare versioni “nulle” o scaricate da siti non verificati.
• Limitare gli Accessi: Concedi agli utenti solo i privilegi strettamente necessari. Rimuovi account utente non utilizzati.
• Hardening di WordPress: Implementa misure di sicurezza aggiuntive come la disabilitazione dell’esecuzione di codice nelle directory di upload, la protezione del file wp-config.php, e la limitazione dei tentativi di accesso.
• Sicurezza a Livello di Hosting: Scegli un provider di hosting affidabile che offra misure di sicurezza adeguate a livello di server, come firewall, rilevamento di intrusioni e backup regolari.
• Monitoraggio Regolare: Utilizza plugin di sicurezza affidabili per WordPress che scansionino regolarmente i file del tuo sito alla ricerca di malware e monitorino l’integrità dei file di sistema (come wp-cron.php). Controlla regolarmente i log di accesso del tuo sito e del tuo account di hosting per attività sospette.
• Backup Regolari: Effettua backup completi e regolari del tuo sito web (file e database) e archiviali in una posizione sicura esterna all’hosting. Questo ti permetterà di ripristinare il sito in caso di infezione non risolvibile.

Cosa Fare in Caso di Infezione Sospetta

Se sospetti che il tuo sito WordPress sia stato infettato da questo o altro malware:

• Isola il Sito: Se possibile, disabilita temporaneamente il sito o metti una pagina di manutenzione statica per evitare che il malware si diffonda ulteriormente o colpisca i visitatori.
• Cambia Tutte le Credenziali: Cambia immediatamente le password dell’area amministrativa di WordPress, dell’account di hosting, dell’FTP e di qualsiasi database associato.
• Scansiona il Sito: Utilizza plugin di sicurezza WordPress affidabili con funzionalità di scansione malware approfondite.
• Verifica l’Integrità dei File Core: Confronta i file del core di WordPress con una copia fresca per identificare eventuali modifiche non autorizzate, inclusi file come wp-cron.php.
• Rimuovi il Malware: Segui attentamente le indicazioni del tuo plugin di sicurezza o, se non sei sicuro, rivolgiti a un esperto di sicurezza WordPress per una pulizia professionale. La rimozione potrebbe richiedere l’accesso via FTP o gestore di file dell’hosting per eliminare file malevoli e ripristinare quelli compromessi (come wp-cron.php).
• Ripristina da un Backup Pulito: Se la rimozione manuale è troppo complessa o incerta, valuta di ripristinare il sito da un backup precedente all’infezione (assicurandoti che il backup stesso sia pulito).
• Individua la Causa: Cerca di capire come è avvenuta l’infezione (es. plugin vulnerabile, password debole) per evitare che si ripeta.
• Contatta il Tuo Provider di Hosting: Informa il tuo provider di hosting dell’accaduto. Potrebbero essere in grado di fornirti assistenza o log utili per l’indagine.
• Monitora il Sito: Dopo la pulizia, monitora attentamente il sito nei giorni successivi per assicurarti che l’infezione sia stata completamente eradicata e che non ci siano segni di recidiva.

Questo tipo di attacco evidenzia come i criminali si evolvano costantemente. Mantenere un alto livello di attenzione e implementare pratiche di sicurezza robuste è fondamentale per proteggere i propri asset digitali.