WordPress: plugin infetto nasconde payload backdoor

Gli amministratori di siti WordPress stanno ricevendo in queste ore falsi avvisi di sicurezza via e-mail per una vulnerabilità fittizia tracciata come CVE-2023-45124. Il suo scopo sarebbe è quello infettare i siti con un plugin dannoso. La campagna è stata notata e segnalata dagli esperti di sicurezza di WordPress di Wordfence e PatchStack, che hanno pubblicato avvisi sui loro siti per avvisare gli utenti del rischio. Le e-mail fingono di provenire proprio da WordPress. Il testo riporta che sul sito dell'amministratore è stato rilevato un nuovo bug critico di esecuzione del codice remoto (RCE) nella piattaforma. La falsa e-mail esorta quindi gli utenti a scaricare e installare un plugin che dovrebbe risolve il problema di sicurezza. In questo modo, però, l’utente installa un malware che compromette l’intero sito web.

WordPress: come funziona l’attacco tramite plugin dannoso

Facendo clic sul pulsante “Scarica plugin” all’interno dell’e-mail, la vittima viene reindirizzata su una falsa landing page su “en-gb-wordpress[.]org” che sembra identica al sito legittimo “wordpress.com”. La pagina relativa al falso plugin mostra un numero di download probabilmente gonfiato (circa 500.000). Inoltre sono presenti  numerose recensioni fake di utenti che spiegano come la patch abbia ripristinato il sito compromesso e li abbia aiutati a contrastare gli attacchi degli hacker. La stragrande maggioranza delle recensioni degli utenti sono recensioni a cinque stelle. Tuttavia, vengono mostrate anche recensioni a quattro, tre e una stella per non destare sospetti. Al momento dell'installazione, il plugin crea un utente amministratore nascosto denominato “wpsecuritypatch” e invia informazioni sulla vittima al server di comando e controllo degli aggressori (C2) su “wpgate[.]zip”. Successivamente, il plugin scarica un payload backdoor con codifica base64 dal C2 e lo salva come “wp-autoload.php” nella webroot del sito web.

La backdoor è dotata di funzionalità di gestione dei file, client SQL, console PHP e  terminale a riga di comando. Il suo scopo sarebbe quello di mostrare agli aggressori informazioni dettagliate sull'ambiente del server. Il plugin dannoso si nasconde dall'elenco dei plugin installati, quindi per rimuoverlo è necessaria una ricerca manuale nella directory principale del sito. Al momento, l’obiettivo operativo del plugin rimane sconosciuto. Tuttavia, PatchStack ipotizza che potrebbe essere utilizzato per inserire annunci pubblicitari su siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o persino ricattare i proprietari minacciando di far trapelare i contenuti del database del loro sito web. Il consiglio per tutti gli utenti è quello di ignorare e cancellare tali avvisi falsi e, naturalmente, non installare il plugin sul proprio sito.