Il falso avviso di sicurezza di WordPress spinge il plug-in backdoor

La campagna è stata catturata e segnalata dagli esperti di sicurezza di WordPress di Wordfence e PatchStack, che hanno pubblicato avvisi sui loro siti per aumentare la consapevolezza.

Facendo clic sul pulsante "Scarica plug-in" dell'e-mail, la vittima viene indirizzata a una pagina di destinazione falsa su "en-gb-wordpress[.]org" che sembra identica al sito legittimo "wordpress.com".

La voce relativa al plug-in falso mostra un numero di download probabilmente gonfiato pari a 500.000, insieme a numerose recensioni di utenti fasulli che spiegano come la patch abbia ripristinato il sito compromesso e li abbia aiutati a contrastare gli attacchi degli hacker.

La stragrande maggioranza delle recensioni degli utenti sono recensioni a cinque stelle, ma vengono inserite recensioni a quattro, tre e una stella per farle sembrare più realistiche.

Al momento dell'installazione, il plug-in crea un utente amministratore nascosto denominato "wpsecuritypatch" e invia informazioni sulla vittima al server di comando e controllo degli aggressori (C2) su "wpgate[.]zip".

Successivamente, il plugin scarica un payload backdoor con codifica base64 dal C2 e lo salva come "wp-autoload.php" nella webroot del sito web.

La backdoor è dotata di funzionalità di gestione dei file, un client SQL, una console PHP e un terminale a riga di comando e mostra agli aggressori informazioni dettagliate sull'ambiente del server.

Il plugin dannoso si nasconde dall'elenco dei plugin installati, quindi per rimuoverlo è necessaria una ricerca manuale nella directory principale del sito.

Al momento, l’obiettivo operativo del plugin rimane sconosciuto.

Tuttavia, PatchStack ipotizza che potrebbe essere utilizzato per inserire annunci pubblicitari su siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o persino ricattare i proprietari minacciando di far trapelare i contenuti del database del loro sito web.