La sicurezza WordPress torna sotto i riflettori dopo una vasta azione internazionale che ha colpito l’infrastruttura malevola legata a SocGholish, noto anche come FakeUpdates. Nell’ambito di Operation Endgame le autorità hanno interrotto le operazioni di 106 server utilizzati per distribuire il malware e hanno ripulito 14971 siti WordPress compromessi che venivano sfruttati come veicolo di infezione.
I proprietari dei siti coinvolti sono stati avvisati di aggiornare il CMS, cambiare le credenziali e rimuovere eventuali account sospetti per ridurre il rischio di reinfezione.
SocGholish è un downloader basato su JavaScript attivo dal 2017, progettato per ottenere un primo accesso ai sistemi delle vittime. Questo punto di ingresso viene spesso monetizzato o riutilizzato da diversi gruppi criminali per distribuire payload successivi, inclusi ransomware e strumenti di spionaggio. La catena di attacco tipica parte da siti web compromessi che mostrano falsi aggiornamenti del browser come Chrome o Firefox oppure di software diffusi, inducendo l’utente a scaricare ed eseguire file dannosi.
Un elemento chiave della diffusione è l’uso di siti WordPress violati con tecniche diverse, tra cui iniezioni dirette di codice JavaScript nelle pagine e varianti con file intermedi che caricano l’iniezione. In molti casi entrano in gioco sistemi di distribuzione del traffico o TDS, che reindirizzano i visitatori in base a fattori come indirizzo IP, paese, sistema operativo e browser. Questo permette ai criminali di filtrare le vittime, eludere controlli tradizionali e consegnare esche mirate, da pagine di phishing fino a download drive-by.
Tra le tattiche osservate c’è anche il domain shadowing, in cui un attaccante ottiene accesso al pannello DNS o al registrar di un dominio legittimo e crea sottodomini aggiuntivi apparentemente innocui. Questi sottodomini puntano poi a infrastrutture esterne controllate dai criminali, sfruttando la reputazione del dominio principale e rendendo più difficile il blocco.
I dati indicano che i siti compromessi si concentrano soprattutto negli Stati Uniti, seguiti da paesi come Germania, Francia, India, Brasile, Singapore, Italia, Indonesia, Canada e Vietnam. Per chi gestisce un sito WordPress la priorità resta la prevenzione: aggiornamenti regolari, controllo degli utenti amministratori, revisione dei plugin, monitoraggio delle modifiche ai file e verifica delle configurazioni DNS.