WordPress yöneticilerine, siteleri kötü amaçlı bir eklenti ile enfekte etmek için CVE-2023-45124 olarak izlenen hayali bir güvenlik açığı için sahte WordPress güvenlik danışmanları e-postayla gönderiliyor.
Kampanya, farkındalığı artırmak için sitelerinde uyarılar yayınlayan WordFence ve PatchTack'teki WordPress güvenlik uzmanları tarafından yakalandı ve bildirildi.
E -postalar WordPress'ten geliyormuş gibi davranıyor, platformdaki yeni bir kritik uzaktan kod yürütme (RCE) kusurunun yöneticinin sitesinde algılandığını ve güvenlik sorununu ele aldığı iddia edilen bir eklenti indirmeye ve yüklemeye çağırıyor.
E-postanın 'Download eklentisi' düğmesine tıklamak, kurbanı, meşru 'WordPress.com' sitesiyle aynı görünen 'EN-GB-Wordpress [.] ORG' adresindeki sahte bir açılış sayfasına götürür.
Sahte eklenti girişi, 500.000 olası şişirilmiş bir indirme sayısı ve yamanın tehlikeye atılan sitelerini nasıl restore ettiği ve hacker saldırılarını engellemelerine yardımcı olan birden fazla sahte kullanıcı incelemesi gösteriyor.
Kullanıcı incelemelerinin büyük çoğunluğu beş yıldızlı incelemelerdir, ancak daha gerçekçi görünmesini sağlamak için dört, üç ve tek yıldızlı incelemeler atılır.
Kurulum üzerine eklenti, 'wpsecuritypatch' adlı gizli bir yönetici kullanıcısı oluşturur ve kurban hakkında bilgi saldırganların komut ve kontrol sunucusuna (C2) 'wpgate [.] Zip.
Ardından, eklenti C2'den Base64 kodlu bir arka kapı yükü indirir ve web sitesinin Webroot'una 'wp-autoload.php' olarak kaydeder.
Arka kapıda dosya yönetimi özellikleri, bir SQL istemcisi, bir PHP konsolu ve bir komut satırı terminali bulunur ve sunucu ortamı hakkında saldırganlara ayrıntılı bilgiler görüntüler.
Kötü niyetli eklenti, yüklü eklentiler listesinden gizlenir, bu nedenle sitenin kök dizininde manuel bir arama yapılması gerekir.
Şu anda, eklentinin operasyonel hedefi bilinmemektedir.
Bununla birlikte, PatchTack, güvenliği ihlal edilmiş sitelerde reklam enjekte etmek, ziyaretçi yeniden yönlendirme yapmak, hassas bilgileri çalmak ve hatta web sitelerinin veritabanı içeriğini sızdırmakla tehdit ederek şantaj yapanlara kullanılabileceğini tahmin etmektedir.
WP En Hızlı Önbellek Eklentisi Hatası Saldırılara 600K WordPress Sitesini ortaya çıkarır
Bilgisayar korsanları WordPress Royal Elementor Eklentisinde Kritik Kusurdan İstismar
Yeni WordPress Backdoor, web sitelerini ele geçirmek için Rogue Yöneticisi oluşturur
Geçen ay Balada enjektör saldırılarında hacklenen 17.000'den fazla WordPress sitesi
Atomic Stealer Malware MacOS'u sahte tarayıcı güncellemeleri aracılığıyla vurur
Kaynak: Bleeping Computer