Agli amministratori di WordPress vengono inviati via email falsi avvisi di sicurezza di WordPress per una vulnerabilità fittizia tracciata come CVE-2023-45124 volta a infettare i siti con un plugin dannoso.
La campagna è stata catturata e segnalata dagli esperti di sicurezza di WordPress su Wordfence E PatchStackche hanno pubblicato alert sui propri siti per sensibilizzare l’opinione pubblica.
Aggiornamento WordPress falso
Le e-mail fingono di provenire da WordPress, avvertendo che sul sito dell’amministratore è stato rilevato un nuovo difetto critico di esecuzione del codice remoto (RCE) nella piattaforma, esortandoli a scaricare e installare un plug-in che presumibilmente risolve il problema di sicurezza.
Fonte: PatchStack
Facendo clic sul pulsante “Scarica plug-in” dell’e-mail, la vittima viene indirizzata a una pagina di destinazione falsa su “en-gb-wordpress”[.]org” che sembra identico al sito legittimo “wordpress.com”.
Fonte: PatchStack
La voce relativa al plug-in falso mostra un numero di download probabilmente gonfiato pari a 500.000, insieme a numerose recensioni di utenti fasulli che spiegano come la patch abbia ripristinato il sito compromesso e li abbia aiutati a contrastare gli attacchi degli hacker.
La stragrande maggioranza delle recensioni degli utenti sono recensioni a cinque stelle, ma vengono inserite recensioni a quattro, tre e una stella per farle sembrare più realistiche.
Fonte: Wordfence
Al momento dell’installazione, il plug-in crea un utente amministratore nascosto denominato “wpsecuritypatch” e invia informazioni sulla vittima al server di comando e controllo degli aggressori (C2) su “wpgate[.]cerniera lampo.’
Successivamente, il plugin scarica un payload backdoor con codifica base64 dal C2 e lo salva come “wp-autoload.php” nella webroot del sito web.
La backdoor è dotata di funzionalità di gestione dei file, un client SQL, una console PHP e un terminale a riga di comando e mostra agli aggressori informazioni dettagliate sull’ambiente del server.
Fonte: Wordfence
Il plugin dannoso si nasconde dall’elenco dei plugin installati, quindi per rimuoverlo è necessaria una ricerca manuale nella directory principale del sito.
Fonte: PatchStack
Al momento, l’obiettivo operativo del plugin rimane sconosciuto.
Tuttavia, PatchStack ipotizza che potrebbe essere utilizzato per inserire annunci pubblicitari su siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o persino ricattare i proprietari minacciando di far trapelare i contenuti del database del loro sito web.