Falso aviso de segurança do WordPress empurra plugin malicioso

Segundo a Wordfence e PatchStack, um falso aviso de segurança do WordPress empurra plugin malicioso para sites que usam esse CMS.

Os administradores do WordPress estão recebendo falsos avisos de segurança do WordPress por e-mail sobre uma vulnerabilidade fictícia rastreada como CVE-2023-45124, mas na verdade, o objetivo é infectar sites com um plugin malicioso.

A campanha foi capturada e relatada por especialistas em segurança WordPress da Wordfence e PatchStack, que publicaram alertas em seus sites para aumentar a conscientização.

Falso aviso de segurança do WordPress empurra plugin malicioso

Falso aviso de segurança do WordPress empurra plugin malicioso
Falso aviso de segurança do WordPress empurra plugin malicioso – E-mail de phishing representando um aviso de segurança do WordPress Fonte: PatchStack

Os e-mails fingem ser do WordPress, alertando que uma nova falha crítica de execução remota de código (RCE) na plataforma foi detectada no site do administrador, instando-os a baixar e instalar um plugin que supostamente resolve o problema de segurança.

Clicar no botão ‘Baixar plug-in’ do e-mail leva a vítima a uma página de destino falsa em ‘en-gb-wordpress[.]org’ que parece idêntica ao site legítimo ‘wordpress.com’.

Falso aviso de segurança do WordPress empurra plugin malicioso
Falso aviso de segurança do WordPress empurra plugin malicioso – Página de destino falsa do WordPress Fonte: PatchStack

A entrada para o plug-in falso mostra uma contagem de downloads provavelmente inflada de 500.000, junto com várias análises falsas de usuários explicando como o patch restaurou o site comprometido e os ajudou a impedir ataques de hackers.

A grande maioria das avaliações dos usuários são avaliações de cinco estrelas, mas avaliações de quatro, três e uma estrela são incluídas para torná-las mais realistas.

Falso aviso de segurança do WordPress empurra plugin malicioso
Falso aviso de segurança do WordPress empurra plugin malicioso – Avaliações falsas de usuários Fonte: Wordfence

Após a instalação, o plug-in cria um usuário administrador oculto chamado ‘wpsecuritypatch’ e envia informações sobre a vítima para o servidor de comando e controle dos invasores (C2) em ‘wpgate[.]zip.’

Em seguida, o plug-in baixa uma carga backdoor codificada em base64 do C2 e a salva como ‘wp-autoload.php’ no webroot do site.

O backdoor possui recursos de gerenciamento de arquivos, um cliente SQL, um console PHP e um terminal de linha de comando e exibe informações detalhadas sobre o ambiente do servidor para os invasores.

Funcionalidade backdoor
Funcionalidade backdoor Fonte: Wordfence

O plugin malicioso se esconde na lista de plugins instalados, portanto, é necessária uma pesquisa manual no diretório raiz do site para removê-lo.
Código para ocultar o usuário administrador e o plugin malicioso
Código para ocultar o usuário administrador e o plugin malicioso Fonte: PatchStack

Neste momento, o objetivo operacional do plugin permanece desconhecido.

No entanto, PatchStack especula que pode ser usado para injetar anúncios em sites comprometidos, redirecionar visitantes, roubar informações confidenciais ou até mesmo chantagear proprietários, ameaçando vazar o conteúdo do banco de dados de seus sites.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Ads Blocker Image Powered by Code Help Pro

Bloqueador de anúncios detectado!!!

Nosso site precisa de publicidade para existir. Por favor, insira-o na lista de permissões/lista branca para liberar a exibição de anúncios e apoiar nosso site. Nosso conteúdo é GRATUITO, e tudo o que pedimos é isso!
Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock