Os administradores do WordPress estão recebendo emails falsos com alertas de segurança do WordPress para uma vulnerabilidade fictícia rastreada como CVE-2023-45124 para infectar sites com um plugin malicioso.
A campanha foi capturada e relatada por especialistas em segurança do WordPress na Wordfence e PatchStack, que publicaram alertas em seus sites para aumentar a conscientização.
Os emails fingem ser do WordPress, avisando que um novo e crítico defeito de execução de código remoto (RCE) na plataforma foi detectado no site do administrador, instando-os a baixar e instalar um plugin que supostamente soluciona o problema de segurança.
Clicar no botão 'Baixar Plugin' do email leva a vítima a uma página de destino falsa em 'en-gb-wordpress[.]org' que parece idêntica ao site legítimo 'wordpress[.]com'.
A entrada para o plugin falso mostra uma contagem provavelmente inflada de 500.000 downloads, juntamente com várias avaliações de usuários falsas falando sobre como o patch restaurou o site comprometido e ajudou a frustrar ataques de hackers.
A grande maioria das avaliações dos usuários são de cinco estrelas, mas avaliações de quatro, três e uma estrela são adicionadas para parecer mais realista.
Após a instalação, o plugin cria um usuário admin oculto chamado 'wpsecuritypatch' e envia informações sobre a vítima para o servidor de comando e controle (C2) dos atacantes em 'wpgate.zip.'
Em seguida, o plugin baixa um payload de backdoor codificada em base64 do C2 e a salva como 'wp-autoload.php' no webroot do site.
O backdoor possui recursos de gerenciamento de arquivos, um cliente SQL, um console PHP e um terminal de linha de comando e exibe informações detalhadas sobre o ambiente do servidor para os atacantes.
O plugin malicioso se esconde da lista de plugins instalados, portanto uma busca manual no diretório raiz do site é necessária para removê-lo.
Neste momento, o objetivo operacional do plugin permanece desconhecido.
No entanto, a PatchStack especula que ele possa ser usado para injetar anúncios em sites comprometidos, realizar redirecionamento de visitantes, roubar informações sensíveis ou até mesmo chantagear os proprietários ameaçando vazar o conteúdo do banco de dados de seu site.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...