Agência Xadrez – Agência de criação de sites

Golpe direcionado a sites WordPress engana os usuários para instalar um plugin Backdoor

A Equipe de Inteligência de Ameaças do Wordfence foi informada recentemente de uma campanha de phishing direcionada a usuários do WordPress. O e-mail de phishing afirma ser da equipe do WordPress e avisa sobre uma vulnerabilidade de execução remota de código no site do usuário com um identificador de CVE-2023-45124, que não é atualmente um CVE válido. O e-mail solicita que a vítima baixe um plugin “Patch” e o instale.

Email com golpe induz usuários de WordPress a instalar falso plugin
Conteúdo do email com falso plugin. Se receber esta mensagem, NÃO CLIQUE EM NENHUM LINK

O link Download Plugin redireciona a vítima para uma página de destino falsa convincente em :en-gb-wordpress[.]org

Se a vítima baixar o plugin e instalá-lo em seu site WordPress, o plugin é instalado com um slug de wpress-security-wordpress e adiciona um usuário administrador malicioso com o nome de usuário . Em seguida, ele envia a URL do site e a senha gerada para esse usuário de volta para um domínio C2: wpgate[.]zip. O plugin malicioso também inclui funcionalidade para garantir que esse usuário permaneça oculto. Além disso, ele baixa um backdoor separado e o salva com um nome de arquivo de wp-autoload.php no webroot. Esse backdoor separado inclui uma senha codificada que inclui um gerenciador de arquivos, um SQL Client, um Console PHP e um Terminal de Linha de Comando, além de exibir informações do ambiente do servidor:wpress-security-wordpresswpsecuritypatchwpgate[.]zipwpgate[.]zipwp-autoload.php

Informações sobre o backdoor instalado pelo falso plugin.

Isso permite que os invasores mantenham a persistência por meio de várias formas de acesso, concedendo-lhes controle total sobre o site WordPress, bem como a conta de usuário da web no servidor.

Indicadores de Comprometimento:

Conclusão

No PSA de hoje, alertamos sobre uma campanha de phishing direcionada a usuários do WordPress com a intenção de enganar as vítimas para que instalem um plugin backdoor malicioso em seu site.

A telemetria da empresa indica que nenhum usuário do Wordfence está infectado no momento. Foi tomada a medida preventiva de adição do usuário administrador mal-intencionado aos nomes de usuário mal-intencionados conhecidos. Além disso, está em andamento o processo de testes de assinaturas de malware para detectar o plugin malicioso e o backdoor separado.

Será lançada uma análise aprofundada do plugin malicioso e backdoor separado em um post futuro. Por enquanto, fique atento a esse e-mail de phishing e não clique em nenhum link, incluindo o link Cancelar inscrição, ou instale o plugin em seu site.

Se você tem amigos ou conhecidos com sites WordPress, por favor, encaminhe este aviso para eles para garantir que eles não instalem este plugin malicioso.wp-autoload.php

Esta é uma tradução do artigo PSA: Fake CVE-2023-45124 Phishing Scam Tricks Users Into Installing Backdoor Plugin
Link do original: https://www.wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/

Sair da versão mobile