Una nuova ondata di attacchi informatici sta prendendo di mira i siti WordPress tramite un sofisticato plugin malevolo mascherato da soluzione di sicurezza. Questo plugin, denominato “WP-antymalwary-bot.php”, si presenta con una serie di funzionalità avanzate che permettono ai cybercriminali di ottenere accesso remoto come amministratore, occultarsi dal pannello di controllo e persino eseguire codice da remoto sul sito compromesso. Tra le sue funzioni, figura anche un sistema di “ping” che invia informazioni a server di comando e controllo e strumenti per propagare ulteriore malware in altre directory, oltre a iniettare codice JavaScript dannoso per la visualizzazione di annunci pubblicitari non autorizzati.

Il malware è stato individuato per la prima volta a gennaio 2025 durante operazioni di pulizia di siti infetti e da allora si sono registrate varianti con nomi diversi come addons.php, wpconsole.php, wp-performance-booster.php e scr.php. Una volta installato, il plugin garantisce agli attaccanti pieno accesso amministrativo grazie all’uso dell’API REST di WordPress, consentendo l’iniezione di codice PHP dannoso nei file del tema o la manipolazione delle cache dei plugin più diffusi.

Nuove tecniche di infezione

Le nuove varianti del malware hanno perfezionato le tecniche di iniezione, scaricando codice JavaScript ospitato su altri domini compromessi allo scopo di mostrare pubblicità indesiderate o spam. Un altro elemento critico è la presenza di un file wp-cron.php corrotto, progettato per ripristinare automaticamente il malware anche se questo viene rimosso dalla directory dei plugin, garantendo così la persistenza della minaccia.

Non è chiaro quale sia il vettore iniziale di compromissione, ma la presenza di commenti e messaggi in lingua russa fa pensare che dietro la campagna ci siano attori di lingua russa. Parallelamente, sono state individuate altre campagne di web skimming che utilizzano domini falsi per simulare moduli di pagamento, così da rubare dati sensibili come informazioni sulle carte di credito, credenziali e cookie.

Obiettivi e tecniche di monetizzazione

Ulteriori analisi hanno individuato anche attività di injection di codice AdSense su siti WordPress compromessi, con l’obiettivo di monetizzare le visite attraverso annunci non autorizzati, spesso a discapito dei veri proprietari del sito. Alcuni attacchi, inoltre, sfruttano falsi CAPTCHA per indurre gli utenti a scaricare backdoor in Node.js, consentendo accesso remoto e traffico anonimo tramite proxy SOCKS5.

In sintesi, la minaccia dei plugin WordPress falsi è sempre più sofisticata e punta sia al guadagno economico tramite pubblicità e furto di dati sia alla persistenza e reinfezione automatica, rendendo fondamentale monitorare costantemente i file del proprio sito e mantenere aggiornati tutti i plugin.