Parece um email legítimo, porque parece vem da equipa do wordpress mesmo, sendo que avisa relativamente a uma falha de execução de código remota. O que é malicioso aqui é a solução que o email aparentemente oferece, a instalação de um plugin de correção dessa mesma falha.
O link de download redireciona a vítima a uma página que parece autêntica e que está sob o domínio gb-wordpress[.]org - desta forma, todos os utilizadores são enganados a confiar que efetivamente estão a proteger o sistema de wordpress.
Conteúdo do plugin malicioso
O plugin adiciona um administrador malicioso sob o nome "wpsecuritypatch"
Este utilizador permanece escondido e envia o URL e uma palavra-passe para um domínio C&C (comando e controlo), estabelecendo um um ponto de partida (foothold) para os atacantes
Faz download de um ficheiro backdoor - wp-autoload.php" desse mesmo domínio, colocando-o no raiz do site, sendo que esse mesmo ficheiro entre outros inclui um cliente SQL e consola de PHP (inúmeras possibilidades só com estas duas funcionalidades)
Solução
A wordfence já atualizou os seus sistemas para responder a esta ameaça
O utilizador final deverá verificar os emails e ter em conta os indicadores de compromisso supracitados, principalmente o subdomínio para o link do patch o redireciona. Ter cuidado com plugins que pareçam suspeitos
Link oficial da wordfence com mais informações da ameaça: https://www.wordfence.com/blog/2023/12/psa-fake-cve-2023-45124-phishing-scam-tricks-users-into-installing-backdoor-plugin/
Comments