Saldırganlar, sahte bir uzaktan kod yürütme (RCE) hatası konusunda uyarıda bulunan sahte bir güvenlik uyarısıyla WordPress kullanıcılarını hedefliyor; aslında siteyi ele geçirebilecek kötü amaçlı kod yayan bir “yama” sunar.
Her iki kurumdaki araştırmacılar tarafından belirlenen e-posta kampanyası Kelime çiti Ve Yama yığını, WordPress’in kimliğine bürünür ve kullanıcıları CVE-2023-45124 adlı bir güvenlik açığına karşı uyarır ve onları bu kusuru düzeltecek bir eklenti indirmek için bir bağlantıya tıklamaya teşvik eder.
“Bu meşru bir e-posta değil ve indirip yüklemenizi istedikleri eklenti web sitenize virüs bulaştıracak” bir arka kapı ve kötü niyetli yönetici hesabı.” Patchstack, kampanyayla ilgili bir blog yazısında kullanıcıları uyardı.
Patchstack’a göre saldırganlar, siteye reklam enjekte etmek, kullanıcıları kötü amaçlı bir siteye yönlendirmek veya fatura bilgilerini çalmak gibi kötü amaçlı faaliyetler gerçekleştirmek için arka kapıyı kullanabilir. Ayrıca dağıtılmış hizmet reddi (DDoS) saldırıları için de bundan yararlanabilirler veya sitenin veritabanının bir kopyasını alıp ardından kripto para birimi ödemesi için onu rehin tutarak site sahiplerine şantaj yapabilirler.
İyi haber şu ki, şu ana kadar kampanyadan herhangi bir hedef etkilenmiş gibi görünmüyor, bu da başarılı olmak için kullanıcı eylemi gerektiriyor, araştırmacılar kaydetti.
Ayrıca saldırganlar, eklentiyi yükleyip etkinleştiren kurbanlara “CVE-2023-45124’e başarılı bir şekilde yama uygulandığını” bildirerek ve ardından onları “yamayı” “sandığınız kişilerle” paylaşmaya teşvik ederek kullanıcıların kirli işlerini kendileri yapmalarını sağlamayı amaçlıyor. Patchstack’a göre bu güvenlik açığından etkilenebilir.”
WordPress Sitenizi Koruyun
WordPress üzerine kurulu yüz milyonlarca web sitesiyle platform ve kullanıcıları, geniş saldırı yüzeyi tehdit aktörleri için uygundur ve bu nedenle kötü niyetli kampanyaların sık sık hedefi olurlar. eklentiler WordPress kullanıcılarını veya bu durumda her ikisini de hedef alan kötü amaçlı yazılım veya kimlik avı kampanyaları yükleyenler. Saldırganlar aynı zamanda hızlı bir şekilde kusurların üzerine gitmek WordPress’te keşfedilen bu risk, mevcut kampanyanın kullanıcıları potansiyel olarak sömürülebilir bir güvenlik açığı tehdidiyle cezbederek tüm avantajlardan yararlanmasına neden olur.
Bir siteye virüs bulaştığına dair güncel göstergeler arasında “wpsecuritypatch” kullanıcı adına sahip bir kullanıcının oluşturulması; WordPress sitesinin kök klasöründe “wp-autoload.php” adlı bir dosyanın varlığı; /wp-content/plugins/ klasöründe “wpress-security-wordpress” veya “cve-2023-45124” adlı bir klasörün varlığı; ve wpgate’e gönderilen giden istekler[.]Patchstack’a göre saldırganın kontrol ettiği site.zip.
Ancak araştırmacılar, bu değişkenlerin saldırganların isteklerine göre değişebileceği konusunda uyardı. Gönderiye göre, “Yarın kullanıcı adını başka bir şeye ayarlayabilir veya başka bir kötü amaçlı alan adı ayarlayabilirler.”
Wordfence, eklentiyi ve arka kapıyı daha derinlemesine inceleyen bir gönderi yayınlamayı planlıyor. Araştırmacılar şimdilik kullanıcıları, kampanyayla ilişkili kimlik avı e-postalarına karşı dikkatli olmaları ve içinde yer alan herhangi bir bağlantıya, hatta “abonelikten çıkma” bağlantısına bile tıklamaktan kaçınmaları gerektiği konusunda uyardı.