Gli hacker utilizzano pagine DDoS di WordPress false per lanciare malware

Secondo un nuovo rapporto, gli hacker stanno spingendo la distribuzione di malware pericoloso tramite i siti Web WordPress attraverso false pagine di protezione DDoS (Distributed Denial of Service) di Cloudflare.

Come riportato da PCMag e Bleeping Computer , i siti Web basati sul formato WordPress vengono violati da attori delle minacce, con NetSupport RAT e un trojan per il furto di password (RaccoonStealer) installato se le vittime cadono nel trucco.

Una rappresentazione digitale di un laptop violato da un hacker.
Grafico delle tendenze digitali

La società di sicurezza informatica Sucuri ha spiegato in dettaglio come gli hacker stanno violando i siti WordPress che non dispongono di solide basi di sicurezza per implementare i payload JavaScript, che a loro volta mostrano falsi avvisi DDoS di protezione Cloudflare.

Una volta che qualcuno visita uno di questi siti compromessi, li indirizzerà a fare clic fisicamente su un pulsante per confermare il controllo della protezione DDoS. Tale azione porterà al download di un file ‘security_install.iso’ sul proprio sistema.

Da qui, le istruzioni chiedono all’individuo di aprire il file infetto travestito da programma chiamato DDOS GUARD, oltre a inserire un codice.

È presente anche un altro file, security_install.exe, un collegamento di Windows che esegue un comando di PowerShell tramite il file debug.txt. Una volta aperto il file, NetSupport RAT, un popolare trojan di accesso remoto, viene caricato sul sistema. Gli script che vengono eseguiti una volta che hanno accesso al PC installeranno e avvieranno anche il trojan per il furto di password di Raccoon Stealer.

Chiuso originariamente nel marzo 2022, Raccoon Stealer è tornato a giugno con una serie di aggiornamenti. Una volta aperto con successo sul sistema di una vittima, Raccoon 2.0 cercherà password, cookie, dati di riempimento automatico e dettagli della carta di credito che vengono memorizzati e salvati sui browser web. Può anche rubare file e acquisire schermate del desktop.

Come evidenziato da Bleeping Computer, le schermate di protezione DDoS stanno iniziando a diventare la norma. Il loro scopo è proteggere i siti Web da bot dannosi che cercano di disabilitare i loro server inondandoli di traffico. Tuttavia, sembra che gli hacker abbiano ora trovato una scappatoia per utilizzare tali schermi come travestimento per diffondere malware.

Con questo in mente, Sucuri consiglia agli amministratori di WordPress di guardare i suoi file dei temi, che è dove gli attori delle minacce stanno concentrando i loro sforzi. Inoltre, il sito Web di sicurezza sottolinea che i file ISO non saranno coinvolti nelle schermate di protezione DDoS, quindi assicurati di non scaricare nulla del genere.

Le attività di hacking, malware e ransomware sono diventate sempre più comuni nel corso del 2022. Ad esempio, uno schema di hacking-as-a-service offre la possibilità di rubare i dati degli utenti per soli $ 10 . Come sempre, assicurati di rafforzare le tue password e di abilitare l’autenticazione a due fattori su tutti i tuoi dispositivi e account.