Στους διαχειριστές του
WordPress
αποστέλλονται email ψεύ
τι
κες συμβουλές ασφαλείας του WordPress για μια εικονική ευπάθεια που παρακολουθείται ως CVE-2023-45124 για να μολύνει ιστότοπους με ένα κακόβουλο πρόσθετο.
Η καμπάνια εντοπίστηκε και αναφέρθηκε από ειδικούς σε θέματα ασφάλειας του WordPress στο
Wordfence
και
PatchStack
οι οποίοι δημοσίευσαν ειδοποιήσεις στους ιστότοπούς τους για να αυξήσουν την ευαισθητοποίηση.
Ψεύτικη
ενημέρωση
WordPress
Τα μηνύματα ηλεκτρονικού ταχυδρομείου προσποιούνται ότι προέρχονται από το WordPress, προειδοποιώντας ότι εντοπίστηκε ένα νέο κρίσιμο ελάττωμα στην απομακρυσμένη εκτέλεση κώδικα (RCE) στην
πλατφόρμα
στον ιστότοπο του διαχειριστή, προτρέποντάς τους να κατεβάσουν και να εγκαταστήσουν ένα πρόσθετο που φέρεται να αντιμετωπίζει το ζήτημα ασφαλείας.
Email ηλεκτρονικού ψαρέματος που υποδύεται μια συμβουλή ασφαλείας WordPress
Πηγή: PatchStack
Κάνοντας κλικ στο κουμπί “Λήψη προσθήκης” του email μεταφέρεται το θύμα σε μια ψεύτικη σελίδα προορισμού στο “en-gb-wordpress[.]org» που μοιάζει πανομοιότυπο με τον νόμιμο ιστότοπο «wordpress.com».
Ψεύτικη σελίδα προορισμού WordPress
Πηγή: PatchStack
Η καταχώριση για το ψεύτικο πρόσθετο δείχνει έναν πιθανό διογκωμένο αριθμό λήψεων 500.000, μαζί με πολλές ψεύτικες κριτικές χρηστών που επεξεργάζονται πώς η ενημερωμένη έκδοση κώδικα αποκατέστησε τον παραβιασμένο ιστότοπο τους και τους βοήθησε να αποτρέψουν επιθέσεις χάκερ.
Η συντριπτική πλειονότητα των κριτικών χρηστών είναι κριτικές πέντε αστέρων, αλλά οι κριτικές τεσσάρων, τριών και ενός αστεριού εισάγονται για να φαίνεται πιο ρεαλιστικό.
Ψεύτικες κριτικές χρηστών
Πηγή: Wordfence
Κατά την εγκατάσταση, το πρόσθετο δημιουργεί έναν κρυφό χρήστη διαχειριστή με το όνομα ‘wpsecuritypatch’ και στέλνει πληροφορίες για το θύμα στον διακομιστή εντολών και ελέγχου των εισβολέων (C2) στο ‘wpgate[.]φερμουάρ.’
Στη συνέχεια, το πρόσθετο κατεβάζει ένα ωφέλιμο φορτίο backdoor με κωδικοποίηση base64 από το C2 και το αποθηκεύει ως ‘wp-autoload.php’ στο webroot του ιστότοπου.
Το backdoor διαθέτει δυνατότητες διαχείρισης αρχείων, πελάτη SQL, κονσόλα PHP και τερματικό γραμμής εντολών και εμφανίζει λεπτομερείς πληροφορίες σχετικά με το περιβάλλον διακομιστή στους εισβολείς.
Λειτουργία backdoor
Πηγή: Wordfence
Το κακόβουλο πρόσθετο κρύβεται από τη λίστα των εγκατεστημένων προσθηκών, επομένως απαιτείται μη αυτόματη αναζήτηση στον ριζικό κατάλογο του ιστότοπου για την κατάργησή του.
Κώδικας για απόκρυψη του χρήστη διαχειριστή και της κακόβουλης προσθήκης
Πηγή: PatchStack
Προς το παρόν, ο λειτουργικός στόχος της προσθήκης παραμένει άγνωστος.
Ωστόσο, το PatchStack εικάζει ότι μπορεί να χρησιμοποιηθεί για την εισαγωγή διαφημίσεων σε παραβιασμένους ιστότοπους, την εκτέλεση ανακατεύθυνσης επισκεπτών, την κλοπή ευαίσθητων πληροφοριών ή ακόμα και τον εκβιασμό ιδιοκτητών απειλώντας να διαρρεύσει το περιεχόμενο της βάσης δεδομένων του ιστότοπού τους.
VIA:
bleepingcomputer.com