Фальшивое предупреждение о безопасности WordPress призывает скачать бэкдор-плагин

0 3

Администраторы WordPress в последнее время стали получать по электронной почте фальшивые уведомления по безопасности WordPress о вымышленной уязвимости под названием CVE-2023-45124. Для ее устранения рекомендуется установить плагин, содержащий бэкдор.

Атака была обнаружена и раскрыта экспертами по безопасности WordPress в Wordfence и PatchStack, которые опубликовали предупреждения на своих сайтах, чтобы увеличить пользовательскую осведомленность.

Ложное обновление WordPress

Письма, приходящие на почту, выдают себя за сообщения от WordPress, предупреждая о новой критической уязвимости удаленного выполнения кода (RCE) на сайте и настоятельно рекомендуя загрузить и установить плагин, который якобы решает эту проблему безопасности.

Фальшивое предупреждение о безопасности WordPress призывает скачать бэкдор-плагин

Нажатие на кнопку «Скачать плагин» в электронном письме перенаправляет жертву на фальшивую страницу, расположенную по адресу ‘en-gb-wordpress[.]org’, которая выглядит идентично официальному сайту ‘wordpress.com’.

Фальшивое предупреждение о безопасности WordPress призывает скачать бэкдор-плагин

Запись о фальшивом плагине содержит вымышленное кол-во загрузок (500 000), а также множество ложных отзывов пользователей, где подробно описывается, как этот патч восстановил их атакованный сайт и помог им противостоять хакерским атакам.

В основном отзывы пользователей пятизвездочные, но добавлены и четырёхзвездочные, трёхзвездочные и даже однозвездочные отзывы, чтобы создать видимость большей реалистичности.

Фальшивое предупреждение о безопасности WordPress призывает скачать бэкдор-плагин

После установки плагин создает скрытого административного пользователя с именем ‘wpsecuritypatch’ и отправляет информацию о жертве на сервер управления атаки (C2) по адресу ‘wpgate[.]zip.’

Затем плагин скачивает base64-закодированный загрузочный бэкдор-файл с C2 и сохраняет его как ‘wp-autoload.php’ в корневой директории сайта.

Бэкдор содержит возможности управления файлами, SQL-клиент, PHP-консоль и командный терминал и отображает подробную информацию о серверной среде для атакующих.

Фальшивое предупреждение о безопасности WordPress призывает скачать бэкдор-плагин

Злонамеренный плагин скрывается из списка установленных плагинов, поэтому требуется выполнить ручной поиск в корневом каталоге сайта для его удаления.

Фальшивое предупреждение о безопасности WordPress призывает скачать бэкдор-плагин

В настоящее время оперативная цель плагина остается неизвестной.

Еще по теме:  Книги по WordPress

Однако PatchStack предполагает, что он может использоваться для внедрения рекламы на скомпрометированные сайты, перенаправления посетителей, кражи конфиденциальной информации или даже шантажа владельцев угрозой утечки содержимого базы данных с их веб-сайта.

Источник: https://www.bleepingcomputer.com

Источник: oddstyle.ru

Оставьте ответ

Ваш электронный адрес не будет опубликован.