Il tuo sito WordPress potrebbe essere una trappola invisibile per i visitatori, distribuendo malware senza che tu te ne accorga. GrayCharlie, gruppo attivo da metà 2023, compromette questi siti per veicolare NetSupport RAT, un tool di controllo remoto pericoloso. Soluzione rapida: aggiorna core, temi e plugin, installa un plugin di sicurezza come Wordfence, effettua backup regolari e attiva l’autenticazione a due fattori (2FA).
GrayCharlie sfrutta la vasta diffusione di WordPress per creare una rete di distribuzione malware su scala industriale. Invece di colpire direttamente i proprietari, trasforma i siti compromessi in esche per gli utenti ignari. Questo metodo è scalabile, con collegamenti a gruppi come SmartApeSG. Un visitatore accede al tuo sito e viene reindirizzato verso payload infetti, tutto senza che il proprietario se ne avveda.
Le tattiche principali sono astute e sfruttano la psicologia umana. Nei falsi aggiornamenti del browser, uno script JavaScript iniettato scarica un file ZIP apparentemente legittimo. Una volta estratto, attiva processi come wscript.exe e PowerShell, installando client32.exe del RAT in cartelle come %AppData%\Roaming. Il malware si rende persistente modificando il registro di Windows, riavviandosi ad ogni login utente.
Ancora più subdola è la tecnica ClickFix: una finta CAPTCHA copia un comando nella clipboard e invita l’utente a incollarlo in Esegui (Win+R). Fidandosi delle istruzioni ‘ufficiali’, l’utente scarica autonomamente un file batch, un ZIP con il RAT e lo estrae tramite PowerShell. Si tratta di un’infezione auto-indotta, basata sulla fiducia cieca.
Un episodio significativo ha colpito siti di studi legali USA a novembre 2025, tramite un attacco supply-chain. Un provider IT condiviso, come SMB Team, è stato violato, con credenziali rubate da infostealer. Questo ha attivato domini come persistencejs.store, colpendo più target con un unico intervento. L’infrastruttura di GrayCharlie è solida: server C2 su MivoCloud e HZ Hosting, certificati TLS rinnovati frequentemente e script iniettati nel DOM di WordPress con URL variabili, indicativi di accessi continuativi.
Dalle infezioni iniziali, il malware può evolvere in Stealc, un infostealer per rubare dati sensibili, o più raramente SectopRAT. WordPress si trasforma così in una botnet nascosta, diffondendo minacce globali.
Per difenderti, adotta un approccio proattivo. Monitora il sito, aggiorna regolarmente e scansiona per minacce. Usa indicatori di compromissione per la caccia attiva, filtra email sospette e analizza i flussi di traffico. Plugin gratuiti anti-malware offrono scansioni automatiche, rilevando e rimuovendo codici malevoli.
Ad esempio, controlla file sospetti come quelli con nomi anomali (admin.php, backup.php) nello spazio FTP. Verifica la sezione utenti nel backend per account non autorizzati come wp-backup o adminbackup. Confronta i file con una copia pulita di WordPress scaricata da wordpress.org, eliminando wp-config.php e wp-content solo dopo backup.
Cambia regolarmente le credenziali del database modificando wp-config.php. Installa plugin come Jetpack Scan o Wordfence per rilevazioni automatiche. L’80-90% delle infezioni deriva da vulnerabilità note non patchate, quindi gli aggiornamenti sono cruciali.
Usa Google Search Console per diagnosticare redirect malevoli: ispeziona URL sospetti e richiedi riconsiderazione post-pulizia. Monitora log e traffico per 48-72 ore dopo interventi.
Approfondimento tecnico
Questa sezione è per utenti con competenze avanzate, che desiderano analizzare e contrastare GrayCharlie in dettaglio.
GrayCharlie inietta script JavaScript esterni nel DOM di siti WordPress violati, tramite tag
