طبق گزارشات به دست آمده از bleepingcomputer، مدیران وبسایت‌های وردپرسی یک ایمیل جعلی دریافت می‌کنند. محتوا ایمیل آن بود که مدیران برای جلوگیری از آسیب پذیری CVE-2023-45124 که یک آسیب پذیری ساختگی بود باید یک افزونه مخرب نصب می‌کردند. این موضوع توسط دو تیم متخصصان امنیتی وردپرس که با نام‌های Wordfence و PatchStack فعالیت می‌کنند آشکار و گزارش شد. این دو شرکت برای آگاه‌سازی مدیران وبسایت‌ها هشدارهایی به صورت سراسری نیز اعلام کردند.

بروزرسانی جعلی وردپرس

ایمیل‌های ارسالی جعلی شباهت بسیار زیادی به ایمیل‌های اصلی شرکت WordPress داشتند. پیام این ایمیل‌ها یک هشدار به مدیران وبسایت‌ها درمورد مشاهده یک نقص جدید بود که سبب اجرای کد از راه دور(RCE) در پلتفورم وردپرس میشد. همچنین در ادامه متن ایمیل به مدیران وبسایت‌ها پیشنهاد دانلود و نصب یک افزونه برای حل این مشکل امنیتی را ارائه میداد. در واقع یک نوع حمله فیشینگ (phishing) درحال اجرا شدن بود.

ایمیل فیشنیگ ارسالی به مدیر وبسایت

ایمیل فیشنیگ ارسالی به مدیر وبسایت

با کلیک روی لینک ارسالی که با عنوان Download Plugin نشان داده‌می‌شود، قربانی به سمت یک سایت جعلی با عنوان en-gb-wordpress.org هدایت می‌شود که کاملا شبیه سایت اصلی وردپرس است. در توضیحات افزونه قربانی شاهد است که حدود 500 هزار کاربر این افزونه را دانلود و نصب کرده‌اند و در قسمت نظرات، کاربران جعلی 5 ستاره داده‌اند و درمورد نحوه خنثی کردن حملات توسط این افزونه توضیح داده‌اند. چند مورد هم نظرات یک ستاره‌ای است که طبیعی جلوه کند.

صفحه دانلود افزونه جعلی
صفحه دانلود افزونه جعلی وردپرس
نظرات جعلی کاربران
نظرات جعلی کاربران

نحوه عملکرد افزونه جعلی

پس از نصب، افزونه یک کاربر جدید با مجوز دسترسی ادمین می‌سازد و نام آن را wpsecuritypatch میگذارد. همچنین افزونه جعلی اطلاعات کامل درمورد وبسایت قربانی را به مهاجمان ارسال میکند. ارسال اطلاعات از طریق کد دستور و کنترل سرور (C2) در wpgate.zip صورت میگیرد. سپس افزونه یک backdoor از نوع base64-encoded دانلود می‌کند و آن را با عنوان wp-autoload.php در webroot سایت ذخیره می‌کند. از امکاناتی که backdoor برای مهاجم فراهم می‌کند می‌توانیم به مدیریت فایل‌ها، دسترسی به SQL، PHP Console، خط دستور ترمینال و تمام جزئیات سرور اشاره کنیم.

عملیات backdoor
عملیات backdoor

روش مقابله با این افزونه

کاربران باید توجه کنند که این افزونه مخرب از لیست پلاگین‌های نصب شده مخفی میماند و برای پاک کردن آن باید به صورت دستی در root وبسایت به دنبال آن بگردند و آن را حذف کنید.

 تا به الان هدف اصلی از این نوع حملات نامشخص است. اما با توجه به اطلاع‌رسانی‌ها و هشدارهای PatchStack درمورد این مدل حملات، می‌تواند اهداف مختلفی در پشت این حملات باشد. این اهداف می‌تواند شامل بی اطلاع قراردادن تبلیغات در سایت‌های هدفمند، هدایت قربانی به سایت دیگر، به سرقت بردن اطلاعات حساس یک سازمان یا حتی تهدید و باج‌گیری از مدیران وبسایت‌ها به دلیل انتشار محتوای بانک اطلاعاتی وبسایت آنها.

کاربران و مدیران وبسایت‌ها باید تلاش کنند تا همیشه وردپرس را بروز نگهدارند. همچنین برای بروزرسانی‌ها و اخبار مربوط به وردپرس از خود سایت اصلی wordpress.org اقدام کنند.