Phishing je jeden z „nejkonverznějších“ typů podvodu v online prostředí. S minimem nákladů, lze dosáhnout značných zisků a proto se tyto podvody začínají zaměřovat i na oblasti, kde to dříve nebylo běžné, jako jsou uživatelé WordPressu.
Nedávno Wordfence Threat Intelligence tým obdržel informace o podvodné kampani cílené na WordPress uživatele. V této kampani je rozesílán falešný e-mail, který se tváří, že pochází od WordPress týmu a upozorňuje na údajnou zranitelnost umožňující vzdálené spouštění kódu na stránkách uživatele. Tato zranitelnost je označena identifikátorem CVE-2023-45124, který však momentálně není platný. E-mail dále nabádá příjemce k stažení a instalaci doplňku s názvem „Patch“, který je součástí scamu.
Odkaz Download Plugin přesměruje oběť na velmi přesvědčivou falešnou cílovou stránku na adrese cs-gb-wordpress[.]org:
Pokud oběť stáhne tento doplněk a nainstaluje ho na svůj WordPress web, doplněk se instaluje pod názvem wpress-security-wordpress a přidá škodlivého administrátora s uživatelským jménem wpsecuritypatch. Následně odesílá URL adresu stránky a vygenerované heslo pro tohoto uživatele na řídící doménu: wpgate[.]zip. Škodlivý doplněk také obsahuje funkci, která zajišťuje, že tento uživatel zůstane skrytý. Kromě toho stahuje samostatný backdoor z wpgate[.]zip a ukládá jej pod názvem wp-autoload.php do kořenového adresáře webu. Tento samostatný backdoor obsahuje pevně nastavené heslo a zahrnuje správce souborů, SQL klienta, PHP konzolu a příkazovou řádku, navíc zobrazuje informace o serverovém prostředí.
To umožňuje útočníkům udržet si trvalý přístup prostřednictvím několika forem přístupu, což jim dává plnou kontrolu nad WordPress stránkou stejně jako nad uživatelským účtem na serveru.
Závěr
Přestože se může e-mail na první pohled jevit jako pravý, buďte velmi opatrní, na co klikáte a bez porady s vaším webmasterem nic do WordPressu neinstalujte. Vždy kontrolujte url, kam odkaz vede a při podezření, je lepší nedělat nic, než riskovat napadení webu.
Zdroj: Wordfence
