Di REBECCA RUTHERFORD
Per il Los Alamos Daily Post
Se sei un blogger, è probabile che tu abbia utilizzato WordPress come piattaforma. È una delle più grandi piattaforme di blogger in circolazione. Se e quando aprirò il mio blog su gatti, cocktail e sicurezza informatica, probabilmente finirò anche per usarlo.
Detto questo, WordPress notoriamente non è eccezionale dal punto di vista della sicurezza. Software, plugin e temi obsoleti sono uno dei maggiori contributori a questo problema.
Per l’utente occasionale, mantenere tutto aggiornato in WordPress può essere difficile, ma senza questi aggiornamenti possono esserci seri problemi di sicurezza.
E ora i truffatori stanno sfruttando i timori degli utenti in termini di sicurezza in un’e-mail di phishing a tema WordPress. Questa campagna è stata catturata e segnalata da PatchStackEsperti di sicurezza WordPress.
Secondo quanto riferito, agli amministratori di WordPress vengono inviati via email falsi avvisi di sicurezza di WordPress per una falsa vulnerabilità tracciata come “CVE-2023-45124” nel tentativo di infettare i siti con un plugin dannoso.
Le e-mail falsificano WordPress, avvisando gli amministratori che sul sito dell’amministratore è stato rilevato un nuovo difetto critico di esecuzione del codice remoto (RCE) nella piattaforma, chiedendo loro di scaricare e installare un plug-in che risolverà il problema di sicurezza.
PatchStack di origine
Cos’è un RCE? Gli attacchi RCE (Remote Code Execution) consentiranno a un utente malintenzionato di eseguire in remoto codice dannoso su un computer. L’impatto di una vulnerabilità RCE può variare dall’esecuzione di malware all’acquisizione da parte di un utente malintenzionato del controllo totale su una macchina compromessa.
Se gli utenti fanno clic sul pulsante “Scarica plug-in” dell’e-mail, la vittima viene indirizzata a una pagina di destinazione falsa su “en-gb-wordpress”[.]org” che assomiglia esattamente al sito legittimo “wordpress.com”.
PatchStack di origine
Se giudichi app e plug-in in base alle recensioni degli utenti e al numero di download, ciò potrebbe sembrare legittimo, ma il numero di download e le recensioni sono falsi.
Dopo l’installazione, il plugin dannoso crea un utente amministratore nascosto e invia le informazioni della vittima al server C2 (comando e controllo) dell’aggressore. Cos’è un C2? Gli autori delle minacce utilizzano C2 per inviare comandi al proprio malware e per installare programmi dannosi, script dannosi e altro ancora.
Il plugin scarica quindi un payload backdoor codificato base64. Questa backdoor consente agli aggressori di controllare il computer della vittima. Il plugin dannoso si nasconde quindi dall’elenco dei plugin installati, richiedendo una ricerca manuale nella directory principale per essere disinstallato.
Secondo Patchstack, l’obiettivo finale di ciò non è chiaro, ma ipotizzano che potrebbe essere utilizzato per inserire annunci pubblicitari su siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o persino ricattare i proprietari minacciando di far trapelare i contenuti del database del loro sito web.
Se sei un amministratore di WordPress, fai attenzione a questa truffa e non fare clic su quel collegamento!
Nota dell’editore: Rebecca Rutherford lavora nel campo della tecnologia dell’informazione presso il Los Alamos National Laboratory.
