افزونه جعلی توسط وردپرس منتشر شد!
طبق گزارشات به دست آمده از bleepingcomputer، مدیران وبسایتهای وردپرسی یک ایمیل جعلی دریافت میکنند. محتوا ایمیل آن بود که مدیران برای جلوگیری از آسیب پذیری CVE-2023-45124 که یک آسیب پذیری ساختگی بود باید یک افزونه مخرب نصب میکردند. این موضوع توسط دو تیم متخصصان امنیتی وردپرس که با نامهای Wordfence و PatchStack فعالیت میکنند آشکار و گزارش شد. این دو شرکت برای آگاهسازی مدیران وبسایتها هشدارهایی به صورت سراسری نیز اعلام کردند.
بروزرسانی جعلی وردپرس
ایمیلهای ارسالی جعلی شباهت بسیار زیادی به ایمیلهای اصلی شرکت WordPress داشتند. پیام این ایمیلها یک هشدار به مدیران وبسایتها درمورد مشاهده یک نقص جدید بود که سبب اجرای کد از راه دور(RCE) در پلتفورم وردپرس میشد. همچنین در ادامه متن ایمیل به مدیران وبسایتها پیشنهاد دانلود و نصب یک افزونه برای حل این مشکل امنیتی را ارائه میداد. در واقع یک نوع حمله فیشینگ (phishing) درحال اجرا شدن بود.
با کلیک روی لینک ارسالی که با عنوان Download Plugin نشان دادهمیشود، قربانی به سمت یک سایت جعلی با عنوان en-gb-wordpress.org هدایت میشود که کاملا شبیه سایت اصلی وردپرس است. در توضیحات افزونه قربانی شاهد است که حدود 500 هزار کاربر این افزونه را دانلود و نصب کردهاند و در قسمت نظرات، کاربران جعلی 5 ستاره دادهاند و درمورد نحوه خنثی کردن حملات توسط این افزونه توضیح دادهاند. چند مورد هم نظرات یک ستارهای است که طبیعی جلوه کند.
نحوه عملکرد افزونه جعلی
پس از نصب، افزونه یک کاربر جدید با مجوز دسترسی ادمین میسازد و نام آن را wpsecuritypatch میگذارد. همچنین افزونه جعلی اطلاعات کامل درمورد وبسایت قربانی را به مهاجمان ارسال میکند. ارسال اطلاعات از طریق کد دستور و کنترل سرور (C2) در wpgate.zip صورت میگیرد. سپس افزونه یک backdoor از نوع base64-encoded دانلود میکند و آن را با عنوان wp-autoload.php در webroot سایت ذخیره میکند. از امکاناتی که backdoor برای مهاجم فراهم میکند میتوانیم به مدیریت فایلها، دسترسی به SQL، PHP Console، خط دستور ترمینال و تمام جزئیات سرور اشاره کنیم.
روش مقابله با این افزونه
کاربران باید توجه کنند که این افزونه مخرب از لیست پلاگینهای نصب شده مخفی میماند و برای پاک کردن آن باید به صورت دستی در root وبسایت به دنبال آن بگردند و آن را حذف کنید.
تا به الان هدف اصلی از این نوع حملات نامشخص است. اما با توجه به اطلاعرسانیها و هشدارهای PatchStack درمورد این مدل حملات، میتواند اهداف مختلفی در پشت این حملات باشد. این اهداف میتواند شامل بی اطلاع قراردادن تبلیغات در سایتهای هدفمند، هدایت قربانی به سایت دیگر، به سرقت بردن اطلاعات حساس یک سازمان یا حتی تهدید و باجگیری از مدیران وبسایتها به دلیل انتشار محتوای بانک اطلاعاتی وبسایت آنها.
کاربران و مدیران وبسایتها باید تلاش کنند تا همیشه وردپرس را بروز نگهدارند. همچنین برای بروزرسانیها و اخبار مربوط به وردپرس از خود سایت اصلی wordpress.org اقدام کنند.