WordPress-administratorer står over for en sofistikeret e-mail-kampagne, der udnytter falske WordPress-sikkerhedsrådgivninger til at udnytte en ikke-eksisterende sårbarhed, identificeret som CVE-2023-45124. Sikkerhedseksperter fra Wordfence og PatchStack har opsnappet og rapporteret denne ondsindede kampagne, sigter på at øge bevidstheden blandt WordPress-brugere.
CVE-2023-45124: Ondsindet kampagne rettet mod WordPress-administratorer
De vildledende e-mails, forklædt som officiel WordPress-kommunikation, fejlagtigt underrette administratorer om en kritisk fjernkørsel af programkode (RCE) fejl på deres websteder. E-mailen opfordrer modtagerne til at løse det formodede sikkerhedsproblem ved at downloade og installere et plugin, der er angivet i meddelelsen:
Når du klikker på 'Download plugin'’ knap, ofre dirigeres til en vildledende landingsside på 'en-gb-wordpress[.]org,’ omhyggeligt udformet til at ligne den legitime 'wordpress.com’ websted. Den falske landingsside har en svigagtig plugin-indgang, fremvisning af et oppustet downloadantal på 500,000 og fremstillede brugeranmeldelser, der roser patchens effektivitet til at gendanne kompromitterede websteder og forhindre hackerangreb.
Når det er installeret, det ondsindede plugin, forklædt som en sikkerhedspatch, opretter en skjult admin-bruger ved navn 'wpsecuritypatch’ og sender information om offeret til angriberne’ kommando- og kontrolserver (C2) på 'wpgate[.]lynlås.’ Efterfølgende, plugin'et downloader en base64-kodet bagdørs nyttelast fra C2, gemmer det som 'wp-autoload.php’ i hjemmesidens webroot.
Bagdøren udviser sofistikeret funktionalitet, herunder filhåndteringsfunktioner, en SQL-klient, en PHP-konsol, og en kommandolinjeterminal. Desuden, den videregiver detaljerede oplysninger om servermiljøet til angriberne.
vigtigere, det ondsindede plugin skjuler sig fra listen over installerede plugins, nødvendiggør en manuel søgning i webstedets rodmappe for fjernelse. Mens de operationelle mål for dette plugin forbliver uoplyst, sikkerhedsanalytikere spekulerer i, at det potentielt kan tjene forskellige ondsindede formål, såsom indsprøjtning af annoncer, omdirigere besøgende, stjæle følsomme oplysninger, eller endda afpresning af webstedsejere ved at true med at lække databaseindhold.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: