WordPress to jeden z najpopularniejszych systemów zarządzania treścią w Internecie. Właściwie więcej niż 43 procent wszystkich stron internetowych działających na WordPressie. To sprawia, że najnowszy atak nowego ugrupowania zagrażającego na witryny WordPress jest tym bardziej niepokojący.
Według A nowy raport z Google Threat Intelligence Group (GTIG) nowy ugrupowanie zagrożeń o kryptonimie UNC5142 skutecznie włamuje się do witryn WordPress i wykorzystuje zupełnie nową technikę do rozprzestrzeniania złośliwego oprogramowania w Internecie. Według raportu UNC5142 wykryje podatne na ataki witryny WordPress, które często korzystają z niewłaściwych motywów, wtyczek lub baz danych WordPress.
Z raportu wynika, że notoryczna grupa hakerska atakuje urzędników ICE i FBI w wyniku nowego wycieku
Docelowe witryny WordPress zostaną zainfekowane CLEARSHORT, wieloetapowym narzędziem do pobierania JavaScript, które dystrybuuje złośliwe oprogramowanie. Grupa zagrożeń zastosowałaby wówczas nową technikę o nazwie „EtherHiding”, którą umożliwia CLEARSHORT.
Zmienna prędkość światła
Google opisuje EtherHiding jako „technikę stosowaną do ukrywania złośliwego kodu lub danych poprzez umieszczenie ich w publicznym łańcuchu bloków, takim jak inteligentny łańcuch BNB”. Takie wykorzystanie łańcucha bloków do rozprzestrzeniania złośliwego kodu jest wyjątkowe i jeszcze bardziej utrudnia powstrzymanie rozprzestrzeniania się złośliwego oprogramowania.
Inteligentna umowa zawierająca kod w łańcuchu bloków wywołałaby następnie stronę docelową CLEARSHORT, często hostowaną w witrynie deweloperskiej Cloudflare, która wykorzystuje taktykę inżynierii społecznej ClickFix. Ta taktyka nakłania osobę odwiedzającą witrynę do uruchomienia złośliwych poleceń na swoim komputerze za pośrednictwem okna dialogowego Uruchamianie systemu Windows lub aplikacji Terminal na komputerze Mac.
Google twierdzi, że ataki UNC5142 są często motywowane finansowo. GTIG twierdzi, że śledzi UNC5142 od 2023 r. Jednak Google podaje, że UNC5142 nagle zaprzestał wszelkiej aktywności w lipcu 2025 r.
Może to oznaczać, że ta nowa grupa cyberprzestępców, którzy z powodzeniem prowadzili swoje kampanie szkodliwego oprogramowania, właśnie zdecydowała się poddać. Może też oznaczać, że ugrupowanie zagrażające zmodyfikowało swoje techniki, skutecznie zaciemniając swoje najnowsze działania, i nadal hakuje podatne witryny internetowe.
