06/12/23
Администраторы WordPress получают поддельные уведомления о безопасности, связанные с несуществующей уязвимостью, якобы отслеживаемой под идентификатором CVE-2023-45124. Цель атаки — заражение сайтов вредоносным плагином.
В электронных письмах, маскирующихся под официальные сообщения от WordPress, говорится о критической уязвимости типа удалённого выполнения кода (RCE), обнаруженной на сайте администратора. Пользователей WordPress убеждают установить плагин, якобы решающий проблему безопасности.
Переход по кнопке «Скачать плагин» ведёт на поддельную страницу «en-gb-wordpress[.]org», внешне неотличимую от официального сайта «wordpress.com». На странице указано завышенное количество скачиваний плагина в 500 тысяч загрузок, а также фальшивые отзывы пользователей.
После установки плагин создаёт скрытого администратора под именем «wpsecuritypatch» и отправляет информацию о жертве на C2-сервер атакующих. Затем плагин скачивает и сохраняет на сайте вредоносный код.
Плагин оснащён функциями управления файлами, SQL-клиентом, PHP-консолью и терминалом командной строки, а также предоставляет злоумышленникам подробную информацию о скомпрометированном сервере.
В списке установленных плагинов данное ПО также не отображается, что затрудняет его обнаружение и удаление. На данный момент цели использования плагина неизвестны, но эксперты предполагают, что он может использоваться для внедрения рекламы на скомпрометированных сайтах, перенаправления посетителей, кражи конфиденциальной информации или даже для шантажа владельцев сайтов угрозой утечки содержимого баз данных.
Эксперты по безопасности WordPress из Wordfence и PatchStack опубликовали предупреждения на своих сайтах, чтобы повысить осведомлённость администраторов и пользователей о данной угрозе. Крайне важно проявлять осторожность при установке неизвестных плагинов и обращать внимание на подозрительные электронные письма.
