Il falso avviso di sicurezza di WordPress spinge il plug-in backdoor

Vai ai contenuti

Il falso avviso di sicurezza di WordPress spinge il plug-in backdoor

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Il falso avviso di sicurezza di WordPress spinge il plug-in backdoor




WordPress
Agli amministratori di WordPress vengono inviati via email falsi avvisi di sicurezza di WordPress per una vulnerabilità fittizia tracciata come CVE-2023-45124 volta a infettare i siti con un plugin dannoso.

La campagna è stata catturata e segnalata dagli esperti di sicurezza di WordPress di Wordfence e PatchStack, che hanno pubblicato avvisi sui loro siti per aumentare la consapevolezza.

Aggiornamento WordPress falso
Le e-mail fingono di provenire da WordPress, avvertendo che sul sito dell'amministratore è stato rilevato un nuovo difetto critico di esecuzione del codice remoto (RCE) nella piattaforma, esortandoli a scaricare e installare un plug-in che presumibilmente risolve il problema di sicurezza.


Facendo clic sul pulsante "Scarica plug-in" dell'e-mail, la vittima viene indirizzata a una pagina di destinazione falsa su "en-gb-wordpress[.]org" che sembra identica al sito legittimo "wordpress.com".


La voce relativa al plug-in falso mostra un numero di download probabilmente gonfiato pari a 500.000, insieme a numerose recensioni di utenti fasulli che spiegano come la patch abbia ripristinato il sito compromesso e li abbia aiutati a contrastare gli attacchi degli hacker.

La stragrande maggioranza delle recensioni degli utenti sono recensioni a cinque stelle, ma vengono inserite recensioni a quattro, tre e una stella per farle sembrare più realistiche.


Al momento dell'installazione, il plug-in crea un utente amministratore nascosto denominato "wpsecuritypatch" e invia informazioni sulla vittima al server di comando e controllo degli aggressori (C2) su "wpgate[.]zip".

Successivamente, il plugin scarica un payload backdoor con codifica base64 dal C2 e lo salva come "wp-autoload.php" nella webroot del sito web.




La backdoor è dotata di funzionalità di gestione dei file, un client SQL, una console PHP e un terminale a riga di comando e mostra agli aggressori informazioni dettagliate sull'ambiente del server.


Il plugin dannoso si nasconde dall'elenco dei plugin installati, quindi per rimuoverlo è necessaria una ricerca manuale nella directory principale del sito.


Al momento, l’obiettivo operativo del plugin rimane sconosciuto.

Tuttavia, PatchStack ipotizza che potrebbe essere utilizzato per inserire annunci pubblicitari su siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o persino ricattare i proprietari minacciando di far trapelare i contenuti del database del loro sito web.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti