Business
Trending
TechPulse op WhatsApp Android 15 nu beschikbaar Nieuwe e-readers van Amazon Windows 11 24H2 zorgt voor problemen De beste SSD's
Nieuws
Jeffrey van de Velde

Duizenden WordPress-sites besmet met infostealer-malware

WordPress
© Unsplash/Fikret Tozak
Het Amerikaanse hostingbedrijf GoDaddy ontdekte “meer dan zesduizend WordPress-sites” die de laatste maanden zijn besmet met infostealer-malware. De malware uit zich in een pop-up op de besmette websites.

Beveiligingsonderzoekers van GoDaddy melden dat websites besmet raken via ogenschijnlijk onschuldige plug-ins die door aanvallers worden geïnstalleerd. De hackers misbruiken hiervoor gelekte inloggegevens van administratoraccounts om ongemerkt nieuwe plug-ins toe te voegen. Hoewel beheerders de plug-ins zien verschijnen in het WordPress-dashboard, hoeft dit niet direct argwaan te wekken; de pop-ups worden voorzien van logo’s en namen die onschuldig overkomen.

ClickFix-besmettingen

In werkelijkheid infecteren de plug-ins de WordPress-sites met infostealer-malware, een type malware dat is ontworpen om de inloggegevens van slachtoffers te stelen door schadelijke software op hun systeem te installeren. Deze specifieke infostealer maakt gebruik van een bekende tactiek: er wordt zogenaamd een update voor de webbrowser aangeboden, waarover de gebruiker via een pop-up wordt geïnformeerd, ook wel bekend als ClickFix.

De pop-up lijkt een oplossing te bieden. Gebruikers hoeven alleen maar op “Update now” te klikken om de browser bij te werken. In werkelijkheid wordt echter geen browserupdate uitgevoerd, maar wordt er een malwarepakket geïnstalleerd dat de inloggegevens van de gebruiker verzamelt en naar de hacker verzendt.

Volgens GoDaddy is dit een wijdverspreid probleem dat al tienduizenden websites heeft getroffen. Sinds augustus 2023 heeft het hostingbedrijf 25.000 besmette websites gedetecteerd, maar het werkelijke aantal ligt waarschijnlijk veel hoger. De meest recente variant van de ClickFix-malware heeft sinds juni 2024 al zo’n 6.000 websites wereldwijd geïnfecteerd.

Generieke namen

GoDaddy geeft aan dat het voor beheerders vaak moeilijk is om de nepplug-ins van echte te onderscheiden. Meestal gebruiken de aanvallers generieke namen zoals Advanced User Manager, Quick Cache Cleaner of Easy Themes Manager om niet op te vallen. Ook maken ze gebruik van vervalste plug-in-metadata, waaronder URL’s, beschrijvingen, ontwikkelaarsnamen en versienummers.

De onderzoekers vonden geen aanwijzingen dat de hackers kwetsbaarheden in het WordPress-ecosysteem misbruiken om de aanvallen uit te voeren. Dit bevestigt het vermoeden dat gelekte inloggegevens van administratoraccounts worden gebruikt om malware te installeren. Ook benadrukt dat het belang van sterke wachtwoorden en andere beveiligingsmaatregelen om dit soort aanvallen te voorkomen.

Beveiliginginfostealermalwarewordpress
Jeffrey van de Velde
Komt het liefst alles te weten over de nieuwste smartphones, hardware en mobiele fotografie. Zeg je smartphones, dan zegt Jeffrey: met Android, toch?

Gerelateerde artikelen

Agenda

Nov

05

Synology Solution Day

Nieuwsbrief

Volg ons

Instagram
YouTube
€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600

Trending berichten

Business