En falsk säkerhetsvarning för WordPress sprider sig via epost. Där försöker man övertyga administratörer om att det är WordPress-säkerhetsteamet som skickat ut meddelandet.I meddelandet står det att man behöver installera ett tillägg för att göra sin webbplats säkrare. Installera inte det tillägget då det är malware. Vi fick det här mejlet till oss på Mediakurser och vill därför varna alla andra WordPress användare.
När säkerhetsteamet från WordPress kontaktar dig direkt, är det lätt att tro att det måste vara allvarligt. Ingen vill ha en sårbarhet på sin webbplats. Det är lätt att som webbplatsadministratör att snabbt försöka åtgärda eventuella säkerhetsproblem som det här. Problemet är att det kommer att skapa ett riktigt säkerhetsproblem. Men det är en falsk säkerhetsvarning och om man installerar tillägget har man installerat malware till sin webbplats.
Attacken upptäckt av Wordfence
Säkerhetsforskare från Wordfence har upptäckt en ny phishing-scam. Den marknadsför en falsk varning om en oexisterande CVE-2023-45124 som infekterar WordPress-webbplatser. Ironiskt nog varnar meddelandet i phishing-attacken för dataintrång.
”WordPress Security Team har upptäckt en Remote Code Execution (RCE) sårbarhet på din webbplats, som gör att angripare kan köra skadlig kod och stjäla dina data, användaruppgifter och mer”, förklarar angriparna i e-postmeddelandet.
Notera att både ”WordPress” och ordet ”Excecution” är felstavat.
Tillägget skapar en ”extra” adminstratör
Meddelandet innehåller en nedladdningslänk som leder till en webbplats som ser mycket övertygande ut. Om man installerar tillägget lägger det till en ny administratörsanvändare med namnet ”wpsecuritypatch”. Dessutom ansluter tillägget tillbaka till kommandokontrollservern med webbadress. Enligt forskarna laddar plugin-programmet också ner en bakdörr, en filhanterare, en SQL-klient, en PHP-konsol och en kommandoradsterminal.
Phishing-attacken verkar inte ha krävt drabbat några än så länge. Det är oklart vad angriparna avser att göra med alla verktyg och åtkomsten till webbplatsen. Men med tanke på åtkomstnivån kan de använda webbplatsen för att gömma malware för andra attacker. Möjligen kan de till och med injicera malware direkt på besökarnas sidor.
När du får den här typen av epost är det alltid säkrast att göra en googling för att kontrollera om det handlar om en falsk säkerhetsvarning.