Negli ultimi tempi, il panorama della sicurezza informatica ha osservato nuove tecniche sofisticate di attacco che sfruttano la combinazione di blockchain e vulnerabilità dei siti WordPress. Un gruppo di cybercriminali, identificato come UNC5142, ha infatti adottato una strategia innovativa: utilizzare smart contract sulla blockchain come vettore per distribuire malware, in particolare stealer come Atomic (AMOS), Lumma, Rhadamanthys e Vidar, colpendo sia utenti Windows che macOS.

Compromissione dei siti WordPress e funzionamento dell’attacco

Il cuore dell’attacco risiede nella compromissione di siti WordPress vulnerabili, dove viene iniettato uno specifico JavaScript malevolo denominato CLEARSHORT. Questo script agisce come downloader multi-fase; la sua prima fase consiste nell’inserimento di codice malevolo all’interno di file di plugin, temi o direttamente nel database WordPress. Interagendo con uno smart contract sulla BNB Smart Chain, il malware ottiene una landing page di secondo livello che sfrutta tecniche di social engineering, come la tattica ClickFix, per convincere la vittima a eseguire comandi dannosi.

Catena d’infezione su Windows e macOS

La landing page, spesso ospitata su domini Cloudflare .dev e criptata, induce l’utente a scaricare ed eseguire file infetti tramite finestre di dialogo di Windows o comandi su Terminale per Mac. In ambiente Windows, la catena d’infezione prevede il download di un file HTA da MediaFire, che rilascia uno script PowerShell capace di eludere le difese e lanciare il payload direttamente in memoria. Su macOS, invece, viene utilizzato uno script bash che sfrutta curl per scaricare il malware stealer.

Uso avanzato degli smart contract sulla blockchain

Un aspetto cruciale della campagna UNC5142 è l’utilizzo evoluto degli smart contract blockchain. Dal novembre 2024, la struttura è passata da un singolo smart contract a un’architettura a tre smart contract, adottando il design pattern proxy per incrementare agilità e resilienza contro tentativi di rilevamento e rimozione. Questo sistema permette agli attaccanti di aggiornare rapidamente URL o chiavi di decriptazione con costi minimi in fee (tra 0,25 e 1,50 dollari), senza la necessità di modificare il codice già inserito nei siti WordPress compromessi.

Impatto e resilienza della campagna

L’efficacia e la scalabilità di questa tecnica sono evidenziate dalla scoperta di oltre 14.000 pagine web infette a giugno 2025. Queste campagne mostrano una notevole evoluzione, con l’adozione di infrastrutture parallele che consentono agli attaccanti di testare nuove strategie e rafforzare la resilienza operativa.

Abuso della blockchain e rischi per WordPress

L’abuso della blockchain permette a UNC5142 di celare le attività dannose tra le transazioni legittime Web3, rendendo le operazioni di rilevamento e neutralizzazione molto più difficili per le difese tradizionali, aumentando così il rischio per utenti e aziende che utilizzano WordPress.