Image by Souvik Banerjee, from Unsplash
Nuovo Malware si Maschera da Plugin Anti-Malware su WordPress
Tempo di lettura: 2 Min.
Ultimo aggiornamento: May 1, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
Un nuovo malware di WordPress, mascherato come un plugin anti-malware, concede agli attaccanti l’accesso remoto, con misure di sicurezza aggiornate che vengono implementate da Wordfence.
Hai fretta? Ecco i fatti salienti:
- Un nuovo malware, “WP-antymalwary-bot.php,” si camuffa come un plugin anti-malware su WordPress.
- Il malware concede agli aggressori l’accesso ai pannelli di controllo dei siti e esegue codice remoto.
- Gli aggressori possono iniettare JavaScript maligno e reindirizzare i visitatori verso siti dannosi.
È stata scoperta una nuova variante di malware sui siti WordPress, mascherata come un legittimo plugin anti-malware. Identificata dagli analisti di sicurezza di Wordfence come “WP-antymalwary-bot.php”, questo malware permette agli attaccanti di accedere ai pannelli di controllo dei siti rimanendo invisibili alle viste degli amministratori e, di conseguenza, consente l’esecuzione remota di codice dannoso.
Il malware è stato rilevato per la prima volta da Wordfence il 22 gennaio 2025, durante una pulizia di routine del sito. Il plugin funziona come un normale strumento WordPress, ma contiene una funzione di comando backend che consente agli aggressori di eseguire login di amministratore.
Il malware mantiene il contatto con un server di Comando e Controllo (C&C), consentendo agli aggressori di emettere comandi a distanza. Permette inoltre agli aggressori di distribuire malware aggiungendo codice JavaScript maligno ad altre directory.
Per peggiorare le cose, Wordfence riporta che il malware si nasconde dalla lista dei plugin di WordPress, rendendo ancora più difficile per i proprietari dei siti web rilevarlo. Utilizza inoltre il programmatore di attività di WordPress per mantenere la sua presenza sul sito. Questo significa che, se il plugin maligno viene rimosso, il malware può semplicemente riapparire dopo che il sito è stato nuovamente visitato.
Il malware comunica anche con un server a Cipro, riportando informazioni e possibilmente ricevendo ulteriori istruzioni. Wordfence riporta che continuano ad emergere nuove versioni del malware, compresa una che programma eventi regolari per mantenere l’attacco in corso.
Gli esperti raccomandano agli utenti di WordPress di rimanere vigili e aggiornare i loro plugin di sicurezza.
Storia precedente
Ultimi articoli 
