L'équipe Wordfence Threat Intelligence a récemment été informée d'une campagne de phishing ciblant les utilisateurs de WordPress. L'e-mail de phishing prétend provenir de l'équipe WordPress et met en garde contre une vulnérabilité d'exécution de code à distance sur le site de l'utilisateur avec un identifiant CVE-2023-45124, qui n'est actuellement pas un CVE valide. L'e-mail invite la victime à télécharger un plugin « Patch » et à l'installer.

Le lien Download Plugin redirige la victime vers une fausse page de destination convaincante à l'adresse en-gb-wordpress[.]org:

Si la victime télécharge le plugin et l'installe sur son site WordPress, le plugin est installé avec un slug de wpress-security-wordpress et ajoute un utilisateur administrateur malveillant avec le nom d'utilisateur wpsecuritypatch. Il renvoie ensuite l'URL du site et le mot de passe généré pour cet utilisateur à un domaine C2 : wpgate[.]zip. Le plugin malveillant inclut également des fonctionnalités permettant de garantir que cet utilisateur reste masqué. De plus, il télécharge une porte dérobée distincte depuis wpgate[.]zip et l'enregistre sous un nom de fichier de wp-autoload.php dans la racine Web. Cette porte dérobée distincte comprend un mot de passe codé en dur qui inclut un gestionnaire de fichiers, un client SQL, une console PHP et un terminal de ligne de commande, en plus d'afficher des informations sur l'environnement du serveur :

Cela permet aux attaquants de maintenir la persistance via plusieurs formes d'accès, leur accordant un contrôle total sur le site WordPress ainsi que sur le compte utilisateur Web sur le serveur.

Indicateurs de compromis :

  • UN wp-autoload.php fichier à la racine Web avec un hachage SHA-256 de ffd5b0344123a984d27c4aa624215fa6452c3849522803b2bc3a6ee0bcb23809
  • Un plugin avec un slug de wpress-security-wordpress
  • Un utilisateur administratif masqué avec un nom d'utilisateur de wpsecuritypatch
  • Les domaines malveillants suivants :
    • en-gb-wordpress[.]org
    • wpgate[.]zip

Conclusion

Dans le message d'intérêt public d'aujourd'hui, nous avons mis en garde contre une campagne de phishing ciblant les utilisateurs de WordPress et destinée à inciter les victimes à installer un plugin de porte dérobée malveillant sur leur site.

Notre télémétrie indique qu'aucun utilisateur de Wordfence n'est actuellement infecté et nous avons ajouté l'utilisateur administrateur malveillant à nos noms d'utilisateur malveillants connus. De plus, nous sommes actuellement en train de tester les signatures de logiciels malveillants pour détecter à la fois le plug-in malveillant et la porte dérobée distincte, qui seront publiées sur Wordfence Premium, Entretien de la clôture des mots, Réponse de Wordfenceet payé CLI Wordfence utilisateurs dans les plus brefs délais. Les utilisateurs gratuits de Wordfence recevront les mêmes signatures 30 jours plus tard.

Nous publierons une analyse approfondie du plugin malveillant et séparerons wp-autoload.php porte dérobée dans un prochain article. Pour le moment, soyez à l’affût de cet email de phishing et ne cliquez sur aucun lien, y compris le lien de désabonnement, et n’installez pas le plugin sur votre site. Si vous avez des amis ou des connaissances avec des sites WordPress, veuillez leur transmettre cet avis pour vous assurer qu'ils n'installent pas ce plugin malveillant.

Saviez-vous que Wordfence a un Programme de prime aux bogues? Nous avons récemment multiplié nos primes par 6,25 jusqu'au 20 décembre 2023, nos primes pour les vulnérabilités les plus critiques atteignant 10 000 $ USD ! Si vous êtes un chercheur en vulnérabilité en herbe ou actuel, Cliquez ici pour vous inscrire.


Source link