WordPress-beheerders worden geconfronteerd met een geavanceerde e-mailcampagne die gebruik maakt van valse WordPress-beveiligingsadviezen om een niet-bestaande kwetsbaarheid te misbruiken, geïdentificeerd als CVE-2023-45124. Beveiligingsexperts van Wordfence en PatchStack hebben deze kwaadaardige campagne onderschept en gerapporteerd, met als doel het bewustzijn onder WordPress-gebruikers te vergroten.
CVE-2023-45124: Schadelijke campagne gericht op WordPress-beheerders
De misleidende e-mails, vermomd als officiële WordPress-communicatie, beheerders ten onrechte op de hoogte stellen van een kritieke situatie uitvoering van externe code (RCE) fout op hun sites. In de e-mail worden de ontvangers dringend verzocht het vermeende beveiligingsprobleem aan te pakken door een plug-in uit het bericht te downloaden en te installeren:
Nadat u op de 'Download Plugin’ knop, slachtoffers worden doorgestuurd naar een misleidende landingspagina op 'en-gb-wordpress'[.]org,’ zorgvuldig ontworpen om op het legitieme 'wordpress.com' te lijken’ plaats. De valse landingspagina bevat een frauduleuze plug-in-invoer, met een verhoogd aantal downloads van 500,000 en verzonnen gebruikersrecensies waarin de doeltreffendheid van de patch werd geprezen bij het herstellen van gecompromitteerde sites en het tegenhouden van hackeraanvallen.
Eenmaal geïnstalleerd, de kwaadaardige plug-in, vermomd als beveiligingspatch, maakt een verborgen admin-gebruiker aan met de naam 'wpsecuritypatch’ en verzendt slachtofferinformatie naar de aanvallers’ commando- en controleserver (C2) bij 'wpgate[.]ritssluiting.’ Hierop volgend, de plug-in downloadt een base64-gecodeerde backdoor-payload van de C2, sla het op als 'wp-autoload.php’ in de webroot van de website.
De achterdeur vertoont geavanceerde functionaliteit, inclusief mogelijkheden voor bestandsbeheer, een SQL-client, een PHP-console, en een opdrachtregelterminal. Bovendien, het maakt gedetailleerde informatie over de serveromgeving bekend aan de aanvallers.
Belangrijk, de kwaadaardige plug-in verbergt zichzelf uit de lijst met geïnstalleerde plug-ins, waardoor handmatig zoeken in de hoofdmap van de site nodig is om te worden verwijderd. Hoewel de operationele doelen van deze plug-in niet openbaar worden gemaakt, beveiligingsanalisten speculeren dat het mogelijk verschillende kwaadaardige doeleinden zou kunnen dienen, zoals het injecteren van advertenties, bezoekers doorverwijzen, het stelen van gevoelige informatie, of zelfs het chanteren van website-eigenaren door te dreigen de inhoud van de database te lekken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: