Categories
Segurança WordPress

A equipe de inteligência de ameaças do Wordfence foi recentemente informada sobre uma campanha de phishing direcionada a usuários do WordPress. 

 

O e-mail de phishing afirma ser da equipe do WordPress e alerta sobre uma vulnerabilidade de execução remota de código no site do usuário com um identificador CVE-2023-45124, que atualmente não é um CVE válido. O e-mail solicita que a vítima baixe um plugin “Patch” e instale-o.

O link para download do plug-in redireciona a vítima para uma página de destino falsa e convincente em en-gb-wordpress[.]org:

Se a vítima baixar o plug-in e instalá-lo em seu site WordPress, o plug-in será instalado com um golpe wpress-security-wordpresse adicionará um usuário administrador mal-intencionado com o nome de usuário wpsecuritypatch. 

Em seguida, ele envia o URL do site e a senha gerada para esse usuário de volta para um domínio C2: wpgate[.]zip. O plugin malicioso também inclui funcionalidades para garantir que este usuário permaneça oculto.

 Além disso, ele baixa um backdoor separado wpgate[.]zipe o salva com um nome de arquivo wp-autoload.phpno webroot. Este backdoor separado inclui uma senha codificada que inclui um gerenciador de arquivos, um cliente SQL, um console PHP e um terminal de linha de comando, além de exibir informações do ambiente do servidor:

Isso permite que os invasores mantenham a persistência por meio de múltiplas formas de acesso, garantindo-lhes controle total sobre o site WordPress, bem como sobre a conta do usuário da web no servidor.

Indicadores de compromisso:

Um wp-autoload.php arquivo no webroot com um hash SHA-256 deffd5b0344123a984d27c4aa624215fa6452c3849522803b2bc3a6ee0bcb23809

Um plugin com um pouco de wpress-security-wordpress

Um usuário administrativo oculto com um nome de usuário dewpsecuritypatch

Os seguintes domínios maliciosos:

en-gb-wordpress[.]org

wpgate[.]zip

 

Conclusão

No PSA de hoje, alertamos sobre uma campanha de phishing direcionada a usuários do WordPress com a intenção de induzir as vítimas a instalar um plugin backdoor malicioso em seus sites.

Nossa telemetria indica que nenhum usuário do Wordfence está infectado no momento e adicionamos o usuário administrador mal-intencionado aos nossos nomes de usuário mal-intencionados conhecidos.

Além disso, estamos atualmente no processo de teste de assinaturas de malware para detectar o plug-in malicioso e o backdoor separado, que será lançado para usuários Wordfence Premium , Wordfence Care , Wordfence Response e usuários pagos do Wordfence CLI o mais rápido possível. Os usuários gratuitos do Wordfence receberão as mesmas assinaturas 30 dias depois.

Lançaremos uma análise aprofundada do plugin malicioso e wp-autoload.php do backdoor separado em uma postagem futura. Por enquanto, fique atento a este e-mail de phishing e não clique em nenhum link, incluindo o link Cancelar inscrição, nem instale o plugin em seu site. 

Vá em frente e proteja a Web!

Aqui na Had Cloud estamos de olho em todas as atualizações de segurança para o seu WordPress, além de adotar sempre as melhores práticas.

Se você tem amigos ou conhecidos de sites WordPress, encaminhe este aviso a eles para garantir que não instalem este plugin malicioso.

Texto traduzido e adaptado de : https://www.wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Calendário

fevereiro 2024
STQQSSD
 1234
567891011
12131415161718
19202122232425
26272829 

Categorias

Comentários