Nieuws

Duizenden WordPress-sites besmet met infostealer-malware

WordPress
© Unsplash/Fikret Tozak
Het Amerikaanse hostingbedrijf GoDaddy ontdekte “meer dan zesduizend WordPress-sites” die de laatste maanden zijn besmet met infostealer-malware. De malware uit zich in een pop-up op de besmette websites.

Beveiligingsonderzoekers van GoDaddy melden dat websites besmet raken via ogenschijnlijk onschuldige plug-ins die door aanvallers worden geïnstalleerd. De hackers misbruiken hiervoor gelekte inloggegevens van administratoraccounts om ongemerkt nieuwe plug-ins toe te voegen. Hoewel beheerders de plug-ins zien verschijnen in het WordPress-dashboard, hoeft dit niet direct argwaan te wekken; de pop-ups worden voorzien van logo’s en namen die onschuldig overkomen.

ClickFix-besmettingen

In werkelijkheid infecteren de plug-ins de WordPress-sites met infostealer-malware, een type malware dat is ontworpen om de inloggegevens van slachtoffers te stelen door schadelijke software op hun systeem te installeren. Deze specifieke infostealer maakt gebruik van een bekende tactiek: er wordt zogenaamd een update voor de webbrowser aangeboden, waarover de gebruiker via een pop-up wordt geïnformeerd, ook wel bekend als ClickFix.

De pop-up lijkt een oplossing te bieden. Gebruikers hoeven alleen maar op “Update now” te klikken om de browser bij te werken. In werkelijkheid wordt echter geen browserupdate uitgevoerd, maar wordt er een malwarepakket geïnstalleerd dat de inloggegevens van de gebruiker verzamelt en naar de hacker verzendt.

Volgens GoDaddy is dit een wijdverspreid probleem dat al tienduizenden websites heeft getroffen. Sinds augustus 2023 heeft het hostingbedrijf 25.000 besmette websites gedetecteerd, maar het werkelijke aantal ligt waarschijnlijk veel hoger. De meest recente variant van de ClickFix-malware heeft sinds juni 2024 al zo’n 6.000 websites wereldwijd geïnfecteerd.

Generieke namen

GoDaddy geeft aan dat het voor beheerders vaak moeilijk is om de nepplug-ins van echte te onderscheiden. Meestal gebruiken de aanvallers generieke namen zoals Advanced User Manager, Quick Cache Cleaner of Easy Themes Manager om niet op te vallen. Ook maken ze gebruik van vervalste plug-in-metadata, waaronder URL’s, beschrijvingen, ontwikkelaarsnamen en versienummers.

De onderzoekers vonden geen aanwijzingen dat de hackers kwetsbaarheden in het WordPress-ecosysteem misbruiken om de aanvallen uit te voeren. Dit bevestigt het vermoeden dat gelekte inloggegevens van administratoraccounts worden gebruikt om malware te installeren. Ook benadrukt dat het belang van sterke wachtwoorden en andere beveiligingsmaatregelen om dit soort aanvallen te voorkomen.

Beveiliginginfostealermalwarewordpress

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken