Nutzer werden in die Falle gelockt, Backdoor-Plugin zu installieren Das Bedrohungsinformationsteam von Wordfence hat kürzlich von einer Phishing-Kampagne erfahren, die sich gegen WordPress-Nutzer richtet. Die betrügerischen E-Mails behaupten, vom WordPress-Team zu stammen und warnen vor einer Remote Code Execution-Schwachstelle auf der Webseite der Nutzer mit der Bezeichnung CVE-2023-45124 – die allerdings aktuell gar nicht als gültige CVE existiert. Die E-Mail fordert das Opfer auf, ein “Patch”-Plugin herunterzuladen und zu installieren. Der Download-Link für das Plugin leitet das Opfer auf eine überzeugend aussehende gefälschte Landingpage um, auf der folgenden Website: en-gb-wordpress[.]org. Falls das Opfer das Plugin herunterlädt und auf seiner WordPress-Website installiert, wird das Plugin mit der Bezeichnung wpress-security-wordpress installiert und fügt einen schädlichen Administrator-Benutzer mit dem Nutzernamen wpsecuritypatch hinzu. Anschließend sendet es die URL der Seite und das generierte Passwort für diesen Benutzer zurück an eine C2-Domain: wpgate[.]zip
Das schädliche Plugin beinhaltet zudem eine Funktion, die sicherstellt, dass dieser Benutzer verborgen bleibt. Darüber hinaus lädt es eine separate Backdoor von wpgate[.]zip herunter und speichert sie unter dem Dateinamen wp-autoload.php im Webroot. Laut Wordfence sollten Sie jede verdächtige E-Mail mit Vorsicht behandeln und keine Links anklicken, einschließlich des “Abbestellen”-Links, und das Plugin nicht auf Ihrer Webseite installieren. Wenn Sie Bekannte oder Freunde haben, die WordPress-Webseiten betreiben, leiten Sie diese Warnung bitte an sie weiter, um sicherzustellen, dass sie dieses schädliche Plugin nicht installieren. Die vollständigen Informationen über diese Phishing-Kampagne finden Sie auf der offiziellen Wordfence-Blogseite
