Amministratori del sito WordPress attualmente stanno ricevendo falsi avvisi di sicurezza via e-mail per uno vulnerabilità fittizia tracciato come CVE-2023-45124. Il suo scopo è infettare i siti con un plugin dannoso. La campagna è stata notata e segnalata dagli esperti di sicurezza di WordPress su Wordfence e PatchStack, che hanno pubblicato avvisi sui propri siti per avvisare gli utenti del rischio. Le e-mail fingono di provenire dallo stesso WordPress. Il testo segnala che è stata rilevata una novità sul sito dell’amministratore insetto critico esecuzione di codice remoto (RCE) nella piattaforma. L’e-mail falsa invita quindi gli utenti a scaricare e installare un plug-in che dovrebbe risolvere il problema della sicurezza. In questo modo, però, l’utente installa a malware che compromette il tutto sito web.
WordPress: come funziona l’attacco dei plugin malevoli
Cliccando sul pulsante “Scarica plugin” all’interno dell’e-mail, la vittima viene reindirizzata a una pagina di destinazione falsa su “en-gb-wordpress[.]org” che sembra identico a sito legittimo “wordpress.com”. La pagina del plugin falso mostra a numero di download probabilmente gonfiato (circa 500.000). Inoltre ce ne sono numerosi recensioni false di utenti che spiegano come la patch abbia ripristinato il sito compromesso e li abbia aiutati contrastare gli attacchi degli hacker. La stragrande maggioranza delle recensioni degli utenti sono a cinque stelle. Tuttavia, per non destare sospetti, vengono mostrate anche le recensioni a quattro, tre e una stella. Al momento dell’installazione, il plugin crea un utente amministratore nascosto denominato “wpsecuritypatch” e invia informazioni sulla vittima al server di comando e controllo degli attaccanti (C2) su “wpgate[.]cerniera lampo”. Successivamente, il plugin scarica un file backdoor del carico utile base64 codificato da C2 e lo salva come “wp-autoload.php“nella webroot del sito web.
La backdoor è dotata di funzionalità gestione dei file, SQL del cliente, console PHP e terminale della riga di comando. Il suo scopo sarebbe mostrare agli aggressori informazioni dettagliate sull’ambiente del server. Il plugin dannoso nasconde dall’elenco dei plugin installati, quindi rimuoverlo richiede una ricerca manuale nel file directory principale del sito. Al momento rimane il focus operativo del plugin sconosciuto. Tuttavia, PatchStack ipotizza che potrebbe essere utilizzato per inserire annunci pubblicitari Sono siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o addirittura ricattare i proprietari minacciando di far trapelare il contenuto del database del loro sito web. Il consiglio per tutti gli utenti è di ignorare e eliminare tali falsi avvisi e, naturalmente, non installare il plug-in sul tuo sito.