A Equipe de Inteligência de Ameaças do Wordfence foi informada recentemente de uma campanha de phishing direcionada a usuários do WordPress. O e-mail de phishing afirma ser da equipe do WordPress e avisa sobre uma vulnerabilidade de execução remota de código no site do usuário com um identificador de CVE-2023-45124, que não é atualmente um CVE válido. O e-mail solicita que a vítima baixe um plugin “Patch” e o instale.
O link Download Plugin redireciona a vítima para uma página de destino falsa convincente em :en-gb-wordpress[.]org
Se a vítima baixar o plugin e instalá-lo em seu site WordPress, o plugin é instalado com um slug de wpress-security-wordpress e adiciona um usuário administrador malicioso com o nome de usuário . Em seguida, ele envia a URL do site e a senha gerada para esse usuário de volta para um domínio C2: wpgate[.]zip. O plugin malicioso também inclui funcionalidade para garantir que esse usuário permaneça oculto. Além disso, ele baixa um backdoor separado e o salva com um nome de arquivo de wp-autoload.php no webroot. Esse backdoor separado inclui uma senha codificada que inclui um gerenciador de arquivos, um SQL Client, um Console PHP e um Terminal de Linha de Comando, além de exibir informações do ambiente do servidor:wpress-security-wordpresswpsecuritypatchwpgate[.]zipwpgate[.]zipwp-autoload.php
Isso permite que os invasores mantenham a persistência por meio de várias formas de acesso, concedendo-lhes controle total sobre o site WordPress, bem como a conta de usuário da web no servidor.
Indicadores de Comprometimento:
- Um arquivo wp-autoload.php na webroot com um hash SHA-256 de
wp-autoload.phpffd5b0344123a984d27c4aa624215fa6452c3849522803b2bc3a6ee0bcb23809 - Um plugin com um slug de wpress-security-wordpress
- Um usuário administrativo oculto com um nome de usuário de wpsecuritypatch
- Os seguintes domínios maliciosos:
- en-gb-wordpress[.]org
- wpgate[.]zip
Conclusão
No PSA de hoje, alertamos sobre uma campanha de phishing direcionada a usuários do WordPress com a intenção de enganar as vítimas para que instalem um plugin backdoor malicioso em seu site.
A telemetria da empresa indica que nenhum usuário do Wordfence está infectado no momento. Foi tomada a medida preventiva de adição do usuário administrador mal-intencionado aos nomes de usuário mal-intencionados conhecidos. Além disso, está em andamento o processo de testes de assinaturas de malware para detectar o plugin malicioso e o backdoor separado.
Será lançada uma análise aprofundada do plugin malicioso e backdoor separado em um post futuro. Por enquanto, fique atento a esse e-mail de phishing e não clique em nenhum link, incluindo o link Cancelar inscrição, ou instale o plugin em seu site.
Se você tem amigos ou conhecidos com sites WordPress, por favor, encaminhe este aviso para eles para garantir que eles não instalem este plugin malicioso.wp-autoload.php
Esta é uma tradução do artigo PSA: Fake CVE-2023-45124 Phishing Scam Tricks Users Into Installing Backdoor Plugin
Link do original: https://www.wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/