WordPress phishing prevara iskorištava lažnu ranjivost

WordPress phishing prevara iskorištava lažnu ranjivost kojom se pokušavaju prevariti korisnici da instaliraju zlonamjerni softver. Phishing kampanja ima više varijanti poruka elektronske pošte u kojoj se korisnici obavještavaju o navodnoj sigurnosnoj ranjivosti na njihovoj WordPress Internet stranici.

WordPress phishing prevara

WordPress phishing prevara iskorištava lažnu ranjivost; Source: Bing Image Creator

WORDPRESS PHISHING KAMPANJA

Prevara je uočena od strane Wordfence Threat Intelligence Team sigurnosnih istraživača i dolazi u formi elektronske pošte u kojoj se korisnici upozoravaju na ranjivost daljinskog izvršavanja kôda na korisničkoj stranici sa identifikatorom CVE-2023-45124, koji trenutno nije važeći CVE.

Cilj ovih poruka je da korisnici preuzmu “zakrpu” (eng. patch) za dodatni modul (eng. plugin) i instaliraju na svojoj WordPress stranici. Veza za preuzimanje dodatnog modula koja se nalazi u elektronskoj pošti preusmjerava korisnika na izgledom uvjerljivu Internet stranicu na kojoj se preuzima ova zlonamjerno ažuriranje.

 

INFEKCIJA WORDPRESS STRANICE

Kada korisnik preuzme ovaj dodatni modul i instalira ga na svojoj WordPress Internet stranici dodatak se instalira sa slug-om wpress-security-wordpress i dodaje zlonamjernog korisnika sa administratorskim privilegijama pod nazivom wpsecuritypatch.

Nakon toga se šalje adresa stranice i lozinka za kreiranog korisnika nazad na C2 domen pod kontrolom napadača. Zlonamjerni dodatni modul uključuje i funkcionalnost koja osigurava da ovaj korisnik ostane skriven, a pored toga se preuzima i zaseban backdoor koji se pod nazivom wp-autoload.php smiješta u root Internet lokacije.

Preuzeti backdoor sadrži menadžer datoteka, SQL klijenta, PHP konzolu i terminal komandne linije i prikaza informacija o okruženju servera. Ovo omogućava zlonamjernim akterima da održe postojanost kroz više oblika pristupa, dajući im potpunu kontrolu nad WordPress stranicom, kao i korisničkim nalogom na serveru.

 

ZAKLJUČAK

Korisnici WordPress platforme moraju imati na umu, da pored dodatnih modula koji mogu biti ranjivi, postoje i potpuno zlonamjerni moduli. U ovom slučaju zlonamjerni dodatni modul se maskira kao sigurnosno ažuriranje, a u suštini dodaje zlonamjernog korisnika sa administratorskim privilegijama i instalira zaseban backdoor.

 

ZAŠTITA

Kako bi se zaštitili, korisnicima se preporučuje da:

  • Budu na oprezu sa sumnjivom elektronskom i da ne prate nikakve veze u njima, uključujući otkazivanje preplate (eng. Unsubscribe) ili da da instaliraju dodatne module preporučene u elektronskoj pošti.
  • Izbjegavaju nepotrebne WordPress dodatne module, već da samo koriste one koji su im stvarno potrebni.
  • Prije instalacije dodatnog WordPress modula, pažljivo pročitaju njegove korisničke recenzije, jer je neko možda već primijetio nešto sumnjivo.
  • Deaktiviraju i uklone dodatne module koji se ne koriste.
  • Koriste WordPress dodatne module za skeniranje Internet stranica na prisustvo zlonamjernog softvera. Međutim, treba imati na umu na nisu u potpunosti pouzdani i da ih mnoge nove verzije zlonamjernog softvera za WordPress mogu prevariti.
  • Ako se WordPress Internet stranica ponaša neobično i postoji sumnja da je indicirana, potrebno je razmisliti o kontaktiraju bezbjednosnog stručnjaka.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.