Un nuovo malware WordPress si nasconde nelle pagine di pagamento e imita Cloudflare

I ricercatori di sicurezza informatica hanno scoperto una campagna malware altamente avanzata che prende di mira i siti web WordPress , capace di rubare dati di carte di credito, accessi degli utenti e persino di profilare le vittime.

Scoperto il 16 maggio 2025 dal Wordfence Threat Intelligence Team, questo malware è confezionato come un plugin WordPress ingannevole e utilizza metodi di anti-rilevamento mai visti prima. Una tattica particolarmente innovativa prevede l'hosting di un sistema di gestione live direttamente sui siti web infetti, rendendolo più difficile da individuare.

Questa sofisticata operazione è attiva almeno da settembre 2023, rivela il post ufficiale sul blog di Wordfence. I ricercatori hanno analizzato oltre 20 campioni del malware, rivelando tratti comuni a tutte le versioni, tra cui la codifica incompleta, tecniche per eludere l'analisi e metodi per rilevare gli strumenti per sviluppatori.

Ad esempio, il malware evita abilmente di funzionare sulle pagine di amministrazione per rimanere nascosto e si attiva solo nelle schermate di pagamento. Le versioni più recenti creano persino falsi moduli di pagamento e imitano i controlli di sicurezza di Cloudflare per ingannare gli utenti. Le informazioni rubate vengono spesso inviate camuffate da indirizzi web con immagini.

Oltre al semplice furto di informazioni di pagamento, i ricercatori hanno scoperto altre tre versioni di questo malware, ciascuna con obiettivi diversi. Una versione manometteva Google Ads per mostrare annunci falsi agli utenti di dispositivi mobili. Un'altra era progettata per rubare le credenziali di accesso a WordPress .

Una terza versione diffonde ulteriore malware trasformando i link legittimi sui siti web in link dannosi. Nonostante queste diverse funzioni, il framework software principale è rimasto coerente, adattando le sue funzionalità a ogni specifico attacco. Alcune versioni utilizzavano persino l'app di messaggistica Telegram per inviare dati rubati in tempo reale e tracciare le azioni degli utenti.

Un campione ispezionato includeva anche una sfida di verifica umana finta sorprendentemente completa, iniettata dinamicamente come schermata a schermo intero e multilingue, concepita sia come strumento di inganno per l'utente che come filtro anti-bot. Questo include funzionalità incredibilmente avanzate per il malware, come testo localizzato in più lingue, supporto CSS per le lingue RTL e modalità scura, elementi interattivi come animazioni e SVG rotanti, e una chiara imitazione del brand Cloudflare, rivelando una complessità raramente riscontrata prima.

Paolo Tresso – Wordfence

Una scoperta chiave è stata un falso plugin di WordPress chiamato WordPress Core . Pur sembrando innocuo, conteneva codice JavaScript nascosto per lo skimming e script PHP che permettevano agli aggressori di gestire i dati rubati direttamente dal sito web compromesso.

Questo plugin rogue sfruttava anche funzionalità specifiche di WooCommerce, una popolare piattaforma di e-commerce, per contrassegnare gli ordini fraudolenti come completati, contribuendo a ritardarne l'individuazione. Il suo sistema di gestione nascosto memorizza i dati di pagamento rubati direttamente all'interno di WordPress, classificandoli in una sezione "messaggi" personalizzata.

Per proteggersi da questa minaccia, gli amministratori di siti web dovrebbero cercare segnali di compromissione, inclusi nomi di dominio specifici collegati agli aggressori, come api-service-188910982.website e graphiccloudcontent.com . Wordfence ha già rilasciato le firme di rilevamento per questo malware tra il 17 maggio e il 15 giugno 2025 ai suoi utenti premium, mentre gli utenti gratuiti le riceveranno dopo un ritardo standard di 30 giorni.