Los administradores de WordPress reciben por correo electrónico avisos de seguridad falsos de WordPress por una vulnerabilidad ficticia rastreada como CVE-2023-45124 para infectar sitios con un complemento malicioso.
La campaña ha sido detectada y reportada por expertos en seguridad de WordPress en Wordfence y PatchStack, quienes publicaron alertas en sus sitios para crear conciencia.
Actualización falsa de WordPress
Los correos electrónicos pretenden ser de WordPress, advirtiendo que se detectó una nueva falla crítica de ejecución remota de código (RCE) en la plataforma en el sitio del administrador, instándolos a descargar e instalar un complemento que supuestamente aborda el problema de seguridad.
Fuente: PatchStack
Al hacer clic en el botón 'Descargar complemento' del correo electrónico, la víctima accede a una página de inicio falsa en 'en-gb-wordpress[.]org' que parece idéntica al sitio legítimo 'wordpress.com'.
Fuente: PatchStack
La entrada del complemento falso muestra un recuento de descargas probablemente inflado de 500,000, junto con múltiples reseñas de usuarios falsos que explican cómo el parche restauró su sitio comprometido y los ayudó a frustrar los ataques de piratas informáticos.
La gran mayoría de las reseñas de los usuarios son reseñas de cinco estrellas, pero se incluyen reseñas de cuatro, tres y una estrella para que parezcan más realistas.
Fuente: Wordfence
Tras la instalación, el complemento crea un usuario administrador oculto llamado "wpsecuritypatch" y envía información sobre la víctima al servidor de comando y control (C2) de los atacantes en "wpgate[.]zip".
A continuación, el complemento descarga una carga útil de puerta trasera codificada en base64 desde el C2 y la guarda como 'wp-autoload.php' en la raíz del sitio web.
La puerta trasera presenta capacidades de administración de archivos, un cliente SQL, una consola PHP y una terminal de línea de comandos y muestra información detallada sobre el entorno del servidor a los atacantes.
Fuente: Wordfence
El complemento malicioso se oculta de la lista de complementos instalados, por lo que es necesaria una búsqueda manual en el directorio raíz del sitio para eliminarlo.
Fuente: PatchStack
En este momento, se desconoce el objetivo operativo del complemento.
Sin embargo, PatchStack especula que podría usarse para inyectar anuncios en sitios comprometidos, realizar redirección de visitantes, robar información confidencial o incluso chantajear a los propietarios amenazando con filtrar el contenido de la base de datos de su sitio web.
