WordPress phishing prevara iskorištava lažnu ranjivost
WordPress phishing prevara iskorištava lažnu ranjivost kojom se pokušavaju prevariti korisnici da instaliraju zlonamjerni softver. Phishing kampanja ima više varijanti poruka elektronske pošte u kojoj se korisnici obavještavaju o navodnoj sigurnosnoj ranjivosti na njihovoj WordPress Internet stranici.
WORDPRESS PHISHING KAMPANJA
Prevara je uočena od strane Wordfence Threat Intelligence Team sigurnosnih istraživača i dolazi u formi elektronske pošte u kojoj se korisnici upozoravaju na ranjivost daljinskog izvršavanja kôda na korisničkoj stranici sa identifikatorom CVE-2023-45124, koji trenutno nije važeći CVE.
Cilj ovih poruka je da korisnici preuzmu “zakrpu” (eng. patch) za dodatni modul (eng. plugin) i instaliraju na svojoj WordPress stranici. Veza za preuzimanje dodatnog modula koja se nalazi u elektronskoj pošti preusmjerava korisnika na izgledom uvjerljivu Internet stranicu na kojoj se preuzima ova zlonamjerno ažuriranje.
INFEKCIJA WORDPRESS STRANICE
Kada korisnik preuzme ovaj dodatni modul i instalira ga na svojoj WordPress Internet stranici dodatak se instalira sa slug-om wpress-security-wordpress i dodaje zlonamjernog korisnika sa administratorskim privilegijama pod nazivom wpsecuritypatch.
Nakon toga se šalje adresa stranice i lozinka za kreiranog korisnika nazad na C2 domen pod kontrolom napadača. Zlonamjerni dodatni modul uključuje i funkcionalnost koja osigurava da ovaj korisnik ostane skriven, a pored toga se preuzima i zaseban backdoor koji se pod nazivom wp-autoload.php smiješta u root Internet lokacije.
Preuzeti backdoor sadrži menadžer datoteka, SQL klijenta, PHP konzolu i terminal komandne linije i prikaza informacija o okruženju servera. Ovo omogućava zlonamjernim akterima da održe postojanost kroz više oblika pristupa, dajući im potpunu kontrolu nad WordPress stranicom, kao i korisničkim nalogom na serveru.
ZAKLJUČAK
Korisnici WordPress platforme moraju imati na umu, da pored dodatnih modula koji mogu biti ranjivi, postoje i potpuno zlonamjerni moduli. U ovom slučaju zlonamjerni dodatni modul se maskira kao sigurnosno ažuriranje, a u suštini dodaje zlonamjernog korisnika sa administratorskim privilegijama i instalira zaseban backdoor.
ZAŠTITA
Kako bi se zaštitili, korisnicima se preporučuje da:
- Budu na oprezu sa sumnjivom elektronskom i da ne prate nikakve veze u njima, uključujući otkazivanje preplate (eng. Unsubscribe) ili da da instaliraju dodatne module preporučene u elektronskoj pošti.
- Izbjegavaju nepotrebne WordPress dodatne module, već da samo koriste one koji su im stvarno potrebni.
- Prije instalacije dodatnog WordPress modula, pažljivo pročitaju njegove korisničke recenzije, jer je neko možda već primijetio nešto sumnjivo.
- Deaktiviraju i uklone dodatne module koji se ne koriste.
- Koriste WordPress dodatne module za skeniranje Internet stranica na prisustvo zlonamjernog softvera. Međutim, treba imati na umu na nisu u potpunosti pouzdani i da ih mnoge nove verzije zlonamjernog softvera za WordPress mogu prevariti.
- Ako se WordPress Internet stranica ponaša neobično i postoji sumnja da je indicirana, potrebno je razmisliti o kontaktiraju bezbjednosnog stručnjaka.