Se sei un WordPress amministratore del sito, fai attenzione alle e-mail in arrivo: una potrebbe essere un messaggio di phishing che cerca di infettare il tuo sito con plug-in dannosi.
Questo è l’avvertimento lanciato dagli esperti di sicurezza di WordPress Wordfence e PatchStack, che hanno scoperto che gli amministratori di siti WordPress ricevono e-mail che si spacciano per il sito legittimo wordpress.com.
Nelle e-mail, gli amministratori sono stati avvisati di un nuovo (ma in realtà falso) difetto di esecuzione del codice remoto (RCE) e sono stati invitati a installare immediatamente un plug-in per difendere il proprio sito dagli hacker. Il difetto inesistente viene identificato come CVE-2023-45124, affermano i truffatori.
Inserimento di annunci nei siti WordPress
Gli amministratori ingenui che fanno clic sul pulsante “Scarica plug-in” vengono quindi reindirizzati a una pagina di destinazione falsa in cui possono rivedere e scaricare il “plug-in”. Le recensioni sono un mix di valutazioni a cinque stelle, quattro stelle e persino una stella, per aggiungere legittimità all’intera dura prova. Il sito afferma inoltre che il plug-in ha avuto più di 500.000 download e viene fornito con recensioni che sono un mix di elogi e critiche.
Il plug-in esegue una serie di operazioni dannose sull’istanza WordPress infetta. In primo luogo, crea un utente amministratore nascosto, conferendo all’aggressore privilegi amministrativi, ma estrae anche informazioni importanti sul sito Web agli operatori del plugin e scarica una backdoor dotata di funzionalità di gestione dei file, un client SQL, una console PHP e altro ancora. Infine, cerca di rimanere nascosto e fuori dalla vista, il che significa che gli amministratori devono cercarlo manualmente nella directory principale del sito, per trovare e rimuovere il file malware.
Sebbene l’obiettivo finale del plugin dannoso non sia ancora chiaro al momento, i ricercatori ipotizzano che potrebbe essere utilizzato per inserire annunci pubblicitari indesiderati nel sito Web compromesso. In alcuni scenari, plugin come questo venivano utilizzati per reindirizzare i visitatori a siti diversi, rubare dati sensibili e altro ancora.
attraverso Computer che dorme