Da circa un anno, un malware su WordPress reindirizza gli utenti verso siti truffa, come quelli che premiano il milionesimo visitatore con la promessa di inviare prodotti di varia natura, da iPhone 13 a premi in denaro. Questo è quanto riscontrato dall'azienda specializzata in tecnologie di sicurezza per i siti web Sucuri.
Attraverso il blog aziendale, gli analisti spiegano di aver individuato oltre 3.000 siti infettati solo nel 2022, che portano a 17.000 quelli rilevati fin dal primo riscontro del malware avvenuto a marzo 2021. Il risultato è sempre lo stesso: dopo qualche secondo, l'utente che visita uno di questi siti viene reindirizzato immediatamente a una pagina dal contenuto dubbio, come quella mostrata di seguito.
Il malware viene sempre inserito nel file footer.php del tema attivo, e contiene codice JavaScript offuscato e preceduto da una lunga serie di righe vuote, allo scopo di restare nascosto. A quanto pare, gli autori dell'attacco continuano a modificare il contenuto del codice inoculato, tuttavia i domini di destinazione restano invariati.
Riguardo all'origine dell'infezione, che risulta presente anche su ambienti WordPress completamente aggiornati, pare che i responsabili utilizzino degli account wp-admin compromessi (tramite credenziali soggette a leak, violazioni di tipo "brute force" o tramite elenchi di password rubate, il cosiddetto "password stuffing") e facciano un uso improprio dell'editor file integrato allo scopo di caricare il malware.
Sebbene le pagine di destinazione siano abbastanza riconoscibili come truffe, chi ha effettuato questo attacco conta senza dubbio sui grandi numeri: ci sarà sempre qualcuno che, per ignoranza o per distrazione, finirà con il cadere nella trappola. Ecco perché è sempre fondamentale prestare attenzione alle landing page e alle pagine di reindirizzamento e, quando un'offerta sembra troppo bella per essere vera, state pur certi che al 99,99% è davvero così.
Per restare sicuri da situazioni come questa, oltre alla prudenza, può essere utile adottare uno dei migliori antivirus sul commercio, dato che la maggior parte di questi offre sempre uno strumento per il blocco degli URL sospetti.