Negli ultimi mesi è emersa una nuova e sofisticata campagna di attacchi informatici che sfrutta siti WordPress vulnerabili per diffondere malware attraverso tecniche di phishing di ultima generazione, in particolare tramite la metodologia ClickFix. I ricercatori di cybersicurezza hanno individuato come gli hacker compromettano file chiave dei temi WordPress, come il functions.php, inserendo codice JavaScript malevolo che rimanda a domini esterni controllati dagli attaccanti. Tale codice non solo tenta di mascherarsi come un normale riferimento a Google Ads per eludere i controlli di sicurezza, ma agisce da loader remoto, scaricando payload dinamici che includono script di reindirizzamento e la creazione di iframe nascosti per simulare asset legittimi di provider come Cloudflare.

Il traffico malevolo Kongtuke e il dominio porsasystem.com

Il dominio principale utilizzato in queste operazioni, porsasystem.com, è stato identificato come parte integrante di un traffico di distribuzione malevolo noto come Kongtuke, che veicola le vittime verso pagine ClickFix appositamente create per la diffusione di malware. Il processo di infezione inizia quando gli utenti visitano siti WordPress compromessi, innescando l’esecuzione di script che portano progressivamente al download di ulteriori componenti dannosi.

Il kit di phishing IUAM ClickFix Generator

Contestualmente, è stato scoperto il kit di phishing IUAM ClickFix Generator, uno strumento che consente ai cybercriminali di creare landing page personalizzate, in grado di imitare perfettamente le pagine di verifica browser utilizzate dai sistemi di Content Delivery Network e provider cloud. Queste pagine, molto credibili agli occhi dell’utente, favoriscono l’ingegneria sociale inducendo le vittime ad azioni rischiose, come incollare comandi sospetti in Windows Run o File Explorer. In diversi casi, questi kit sono stati utilizzati per diffondere infostealer come DeerStealer e Odyssey Stealer, con capacità specifiche di adattamento in base al sistema operativo della vittima.

Cache smuggling e nuove tecniche di evasione

Una delle innovazioni più insidiose di questa nuova ondata di attacchi è l’adozione della tecnica del cache smuggling. Invece di scaricare direttamente file dannosi, gli script ClickFix memorizzano dati arbitrari nella cache del browser, come immagini JPEG apparentemente innocue che in realtà contengono archivi zip malevoli. Un comando PowerShell, eseguito tramite l’inganno della pagina di phishing, permette poi di estrarre ed eseguire questi file senza alcuna comunicazione diretta con server esterni, eludendo così molte tradizionali difese di sicurezza.

Difesa e prevenzione contro questi attacchi

Questi sviluppi sottolineano la necessità di rafforzare la sicurezza dei siti WordPress, mantenendo aggiornati plugin e temi, monitorando costantemente per attività anomale e utilizzando password robuste. La crescente diffusione di kit pronti all’uso abbassa la soglia di ingresso per i criminali informatici, rendendo essenziale una difesa proattiva sia per amministratori di siti sia per utenti finali.