Los administradores de WordPress reciben por correo electrónico avisos de seguridad falsos de WordPress por una vulnerabilidad ficticia rastreada como CVE-2023-45124 para infectar sitios con un complemento malicioso.
La campaña ha sido detectada e informada por expertos en seguridad de WordPress en Wordfence y PatchStack, quienes publicaron alertas en sus sitios para crear conciencia.
Los correos electrónicos pretenden ser de WordPress, advirtiendo que se detectó una nueva falla crítica de ejecución remota de código (RCE) en la plataforma en el sitio del administrador, instándolos a descargar e instalar un complemento que supuestamente aborda el problema de seguridad.
Al hacer clic en el botón ‘Descargar complemento’ del correo electrónico, la víctima accede a una página de inicio falsa en ‘en-gb-wordpress[.]org’ que parece idéntica al sitio legítimo ‘wordpress.com’.
La entrada del complemento falso muestra un recuento de descargas probablemente inflado de 500.000, junto con múltiples reseñas de usuarios falsos que explican cómo el parche restauró su sitio comprometido y los ayudó a frustrar los ataques de piratas informáticos.
La gran mayoría de las reseñas de los usuarios son reseñas de cinco estrellas, pero se incluyen reseñas de cuatro, tres y una estrella para que parezcan más realistas.
Tras la instalación, el complemento crea un usuario administrador oculto llamado “wpsecuritypatch” y envía información sobre la víctima al servidor de comando y control (C2) de los atacantes en “wpgate[.]zip”.
A continuación, el complemento descarga una carga útil de puerta trasera codificada en base64 desde el C2 y la guarda como ‘wp-autoload.php’ en la raíz web del sitio web.
La puerta trasera presenta capacidades de administración de archivos, un cliente SQL, una consola PHP y una terminal de línea de comandos y muestra información detallada sobre el entorno del servidor a los atacantes.
El complemento malicioso se oculta de la lista de complementos instalados, por lo que es necesaria una búsqueda manual en el directorio raíz del sitio para eliminarlo.
Sin embargo, PatchStack especula que podría usarse para inyectar anuncios en sitios comprometidos, realizar redirección de visitantes, robar información confidencial o incluso chantajear a los propietarios amenazando con filtrar el contenido de la base de datos de su sitio web.
Info – Ciberseguridad Latam