Meer dan 6.000 websites aangetast met malware door valse WordPress-plugins

Tech
businessam.be
door businessam.be
gepubliceerd op om
3 min lezen

Key takeaways

  • Meer dan 6.000 websites zijn gecompromitteerd door een campagne die gebruik maakte van valse WordPress plugins.
  • De campagne, ClickFix genaamd, maakt gebruik van gestolen inloggegevens om schadelijke plugins te installeren die malware en tools voor het stelen van informatie leveren aan nietsvermoedende gebruikers.
  • Sinds augustus 2023 zijn in totaal meer dan 25.000 websites aangetast door ClickFix.

Hackers hebben meer dan 6.000 websites in gevaar gebracht door een campagne met valse WordPress-plugins. Deze campagne, ClickFix genaamd, maakt gebruik van gestolen inloggegevens om schadelijke plugins te installeren die malware en tools voor het stelen van informatie leveren aan nietsvermoedende gebruikers. Het beveiligingsteam van GoDaddy meldt dat deze campagne sinds juni 2024 meer dan 6.000 sites heeft geïnfecteerd met deze vervalste plugins.

ClickFix

De activiteit van ClickFix gaat terug tot augustus 2023 en heeft nu in totaal meer dan 25.000 websites besmet. Opmerkelijk is dat de aanvallers geen gebruik hebben gemaakt van bekende kwetsbaarheden in WordPress; in plaats daarvan lijken ze legitieme WordPress beheerdersgegevens te hebben verkregen voor elke getroffen site. Deze nepplugins zijn ontworpen om onschuldig te lijken voor websitebeheerders. Bezoekers van deze sites kunnen echter frauduleuze browser update prompts en andere kwaadaardige inhoud tegenkomen.

De plugins injecteren schadelijke JavaScript-code die een variant van valse browserupdate-malware bevat die bekend staat als EtherHiding. Deze malware maakt gebruik van blockchain en smart contracts om schadelijke payloads te downloaden. Wanneer de JavaScript wordt uitgevoerd in de browser van de gebruiker, presenteert deze valse meldingen van browserupdates die gebruikers verleiden tot het installeren van malware zoals remote access trojans (RAT’s) of informatiedieven zoals Vidar Stealer en Lumma Stealer.

Kenmerken van de valse plugins

De valse plugins gebruiken algemene namen zoals “Advanced User Manager” of “Quick Cache Cleaner”. Hun mappen bevatten slechts drie bestanden: index.php, .DS_Store en een -script.js bestand waarvan de naam meestal overeenkomt met de titel van de plugin. In de advisory staat dat de onderliggende code opzettelijk eenvoudig is om geen argwaan te wekken. Een haak voor de actie wp_enqueue_scripts laadt het kwaadaardige script vanuit de plugin-directory in WordPress-pagina’s.

De aanwezigheid van geldige WordPress beheerdersgegevens suggereert dat hackers methoden zoals brute-force aanvallen, phishingcampagnes of zelfs malware-infecties op de computers van websitebeheerders hebben gebruikt om deze gegevens te verkrijgen. Multi-factor authenticatie en andere toegangscontroles, zoals ID-verificatie van apparaten, gezondheidscontroles en locatiebepaling, kunnen de risico’s van gestolen referenties mogelijk beperken.

Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!

Meer
Beursnieuws
Newsfeed
1696522784
16:19 Beursagenda: Belgische bedrijven
15:30 Saverys onderhandelt over bod op Euronav
15:18 Amerika exporteert meer
14:50 Wall Street vermoedelijk licht lager uit de startblokken
14:38 Aantal nieuwe steunaanvragen VS stijgt licht
14:30 Beursupdate: Bel20 licht hoger dankzij AB InBev
14:29 Stevige winst Constellation Brands
13:59 Media: Compagnie Maritime Belge wil Euronav overnemen
12:43 Casino ziet verbetering
12:34 FSMA schort handel in Euronav op
Meer
21:15
Bank
Bank of England maakt werk van plannen digitale valuta ondanks kritiek commerciële banken
20:28
Defensie
Wereldwijde crisis dreigt door escalatie van conflicten en oorlogen
19:43
Travel
Protesten tegen toeristen in Spanje verspreiden zich over heel het land
19:01
Economie
Marokko past vanaf 2026 geleidelijk wisselkoersregime aan en gaat dirham loskoppelen van euro en dollar
18:15
Bank
Spaanse bank Santander schrapt banen in Verenigd Koninkrijk
Meer
Tech
Tech

Meer dan 6.000 websites aangetast met malware door valse WordPress-plugins

door businessam.be
Business

IBM’s omzet valt tegen, aandeel duikt onder de marktverwachtingen

door businessam.be
Elektriciteit

Dramatische stijging in energieverbruik van Europese datacenters

door businessam.be
Tech

LinkedIn moet boete van 310 miljoen euro betalen voor GDPR-overtredingen

door businessam.be
Tech

Pinterest wordt geconfronteerd met privacyklacht in Frankrijk over vermeende GDPR-overtredingen

door businessam.be
Buitenland

Onderzoekers in Shanghai kraken veelgebruikte encryptiemethoden met kwantumcomputer

door businessam.be
Meer Tech

Ontvang de Business AM nieuwsbrieven

De wereld verandert snel en voor je het weet, hol je achter de feiten aan. Wees mee met verandering, wees mee met Business AM. Schrijf je in op onze nieuwsbrieven en houd de vinger aan de pols.