Meer dan 6.000 websites aangetast met malware door valse WordPress-plugins


Key takeaways

  • Meer dan 6.000 websites zijn gecompromitteerd door een campagne die gebruik maakte van valse WordPress plugins.
  • De campagne, ClickFix genaamd, maakt gebruik van gestolen inloggegevens om schadelijke plugins te installeren die malware en tools voor het stelen van informatie leveren aan nietsvermoedende gebruikers.
  • Sinds augustus 2023 zijn in totaal meer dan 25.000 websites aangetast door ClickFix.

Hackers hebben meer dan 6.000 websites in gevaar gebracht door een campagne met valse WordPress-plugins. Deze campagne, ClickFix genaamd, maakt gebruik van gestolen inloggegevens om schadelijke plugins te installeren die malware en tools voor het stelen van informatie leveren aan nietsvermoedende gebruikers. Het beveiligingsteam van GoDaddy meldt dat deze campagne sinds juni 2024 meer dan 6.000 sites heeft geïnfecteerd met deze vervalste plugins.

ClickFix

De activiteit van ClickFix gaat terug tot augustus 2023 en heeft nu in totaal meer dan 25.000 websites besmet. Opmerkelijk is dat de aanvallers geen gebruik hebben gemaakt van bekende kwetsbaarheden in WordPress; in plaats daarvan lijken ze legitieme WordPress beheerdersgegevens te hebben verkregen voor elke getroffen site. Deze nepplugins zijn ontworpen om onschuldig te lijken voor websitebeheerders. Bezoekers van deze sites kunnen echter frauduleuze browser update prompts en andere kwaadaardige inhoud tegenkomen.

De plugins injecteren schadelijke JavaScript-code die een variant van valse browserupdate-malware bevat die bekend staat als EtherHiding. Deze malware maakt gebruik van blockchain en smart contracts om schadelijke payloads te downloaden. Wanneer de JavaScript wordt uitgevoerd in de browser van de gebruiker, presenteert deze valse meldingen van browserupdates die gebruikers verleiden tot het installeren van malware zoals remote access trojans (RAT’s) of informatiedieven zoals Vidar Stealer en Lumma Stealer.

Kenmerken van de valse plugins

De valse plugins gebruiken algemene namen zoals “Advanced User Manager” of “Quick Cache Cleaner”. Hun mappen bevatten slechts drie bestanden: index.php, .DS_Store en een -script.js bestand waarvan de naam meestal overeenkomt met de titel van de plugin. In de advisory staat dat de onderliggende code opzettelijk eenvoudig is om geen argwaan te wekken. Een haak voor de actie wp_enqueue_scripts laadt het kwaadaardige script vanuit de plugin-directory in WordPress-pagina’s.

De aanwezigheid van geldige WordPress beheerdersgegevens suggereert dat hackers methoden zoals brute-force aanvallen, phishingcampagnes of zelfs malware-infecties op de computers van websitebeheerders hebben gebruikt om deze gegevens te verkrijgen. Multi-factor authenticatie en andere toegangscontroles, zoals ID-verificatie van apparaten, gezondheidscontroles en locatiebepaling, kunnen de risico’s van gestolen referenties mogelijk beperken.

Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!

Meer

Ontvang de Business AM nieuwsbrieven

De wereld verandert snel en voor je het weet, hol je achter de feiten aan. Wees mee met verandering, wees mee met Business AM. Schrijf je in op onze nieuwsbrieven en houd de vinger aan de pols.