Falso alerta de segurança WordPress promove plugin com backdoor
5 de Dezembro de 2023

Os administradores do WordPress estão recebendo emails falsos com alertas de segurança do WordPress para uma vulnerabilidade fictícia rastreada como CVE-2023-45124 para infectar sites com um plugin malicioso.

A campanha foi capturada e relatada por especialistas em segurança do WordPress na Wordfence e PatchStack, que publicaram alertas em seus sites para aumentar a conscientização.

Os emails fingem ser do WordPress, avisando que um novo e crítico defeito de execução de código remoto (RCE) na plataforma foi detectado no site do administrador, instando-os a baixar e instalar um plugin que supostamente soluciona o problema de segurança.

Clicar no botão 'Baixar Plugin' do email leva a vítima a uma página de destino falsa em 'en-gb-wordpress[.]org' que parece idêntica ao site legítimo 'wordpress[.]com'.

A entrada para o plugin falso mostra uma contagem provavelmente inflada de 500.000 downloads, juntamente com várias avaliações de usuários falsas falando sobre como o patch restaurou o site comprometido e ajudou a frustrar ataques de hackers.

A grande maioria das avaliações dos usuários são de cinco estrelas, mas avaliações de quatro, três e uma estrela são adicionadas para parecer mais realista.

Após a instalação, o plugin cria um usuário admin oculto chamado 'wpsecuritypatch' e envia informações sobre a vítima para o servidor de comando e controle (C2) dos atacantes em 'wpgate.zip.'

Em seguida, o plugin baixa um payload de backdoor codificada em base64 do C2 e a salva como 'wp-autoload.php' no webroot do site.

O backdoor possui recursos de gerenciamento de arquivos, um cliente SQL, um console PHP e um terminal de linha de comando e exibe informações detalhadas sobre o ambiente do servidor para os atacantes.

O plugin malicioso se esconde da lista de plugins instalados, portanto uma busca manual no diretório raiz do site é necessária para removê-lo.

Neste momento, o objetivo operacional do plugin permanece desconhecido.

No entanto, a PatchStack especula que ele possa ser usado para injetar anúncios em sites comprometidos, realizar redirecionamento de visitantes, roubar informações sensíveis ou até mesmo chantagear os proprietários ameaçando vazar o conteúdo do banco de dados de seu site.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...