Meilleures pratiques informatiques/cybersécuritéVulnérabilités CVE de MicrosoftEscroqueries en ligneTech Nouvelles

CVE-2023-45124 : Campagne malveillante ciblant les sites WordPress avec de faux avis de sécurité

Recherche ITFunk
Recherche ITFunk
CVE-2023-45124 : Campagne malveillante ciblant les sites WordPress avec de faux avis de sécurité

Les administrateurs WordPress sont actuellement confrontés à un système très sophistiqué campagne email qui exploite une vulnérabilité inexistante, étiquetée CVE-2023-45124. Conçus pour tromper, ces e-mails malveillants prétendent être des communications officielles de WordPress, informant faussement les administrateurs du site d'une faille critique d'exécution de code à distance (RCE). Les experts en sécurité de Wordfence et PatchStack ont ​​découvert cette campagne trompeuse, visant à avertir et éduquer les utilisateurs de WordPress sur cette menace périlleuse.

Table des matières

Nature et actions

Les e-mails trompeurs présentent un problème de sécurité fabriqué de toutes pièces, invitant les destinataires à remédier à la prétendue vulnérabilité en téléchargeant et en installant un plugin fourni dans le message. En cliquant sur le bouton « Télécharger le plug-in », les victimes sont dirigées vers une page de destination frauduleuse méticuleusement conçue, se faisant passer pour le site légitime « wordpress.com ». Cette page trompeuse présente une entrée de plugin frauduleuse, affichant un nombre de téléchargements exagéré de 500,000 XNUMX et des avis d'utilisateurs concoctés louant son efficacité à résoudre les sites compromis et à contrecarrer les attaques de pirates.

Une fois installé, ce plugin malveillant, déguisé en correctif de sécurité, initie une série d'actions néfastes. Il crée clandestinement un utilisateur administrateur caché nommé « wpsecuritypatch » et transmet les informations sur la victime au serveur de commande et de contrôle (C2) des attaquants situé à « wpgate[.]zip ». Par la suite, le plugin télécharge une charge utile de porte dérobée codée en base64 à partir du C2, en l'enregistrant sous le nom « wp-autoload.php » dans la racine Web du site Web.

Cette porte dérobée sophistiquée présente des fonctionnalités multiformes, notamment des capacités de gestion de fichiers, un client SQL, une console PHP et un terminal de ligne de commande. De plus, il collecte des informations détaillées sur l’environnement du serveur et les renvoie aux attaquants.

Dangers pour la sécurité des utilisateurs

Les dangers posés par ce plugin malveillant sont graves. Il reste masqué dans la liste des plugins installés, nécessitant une recherche manuelle dans le répertoire racine du site pour sa suppression. Bien que les intentions spécifiques de ce plugin ne soient pas entièrement divulguées, les analystes en sécurité spéculent sur ses objectifs malveillants potentiels, allant de l'injection de publicités, la redirection des visiteurs, le vol d'informations sensibles, jusqu'au chantage potentiel des propriétaires de sites Web en menaçant de divulguer le contenu de la base de données.

Faire face aux conséquences de l’infection

Étapes de suppression

  • Identifiez le plugin malveillant : Recherchez dans le répertoire racine du site les fichiers suspects ou le fichier « wp-autoload.php ».
  • Supprimez les fichiers malveillants : Supprimez tous les fichiers suspects associés au plugin.
  • Réinitialiser les informations d'identification de l'administrateur : Modifiez les mots de passe et les noms d'utilisateur, en éliminant toute trace laissée par le plugin malveillant.

Mesures préventives

  • Vérification de la source : Vérifiez toujours l'authenticité des communications et évitez de cliquer sur des liens ou de télécharger des pièces jointes à partir d'e-mails suspects.
  • Analyses et mises à jour régulières : Effectuez des analyses de sécurité régulières et maintenez WordPress, les plugins et les thèmes à jour.
  • Utilisez des sources fiables : Téléchargez uniquement des plugins ou des thèmes provenant de sources réputées dans le référentiel WordPress officiel.

Conclusion

La campagne trompeuse exploitant le CVE-2023-45124 inexistant constitue une menace sérieuse pour les sites WordPress, permettant aux attaquants d'infiltrer, de compromettre et potentiellement de manipuler des sites Web à des fins malveillantes. La vigilance, des contrôles de sécurité réguliers et une gestion prudente des communications sont essentiels pour empêcher des menaces aussi sophistiquées de porter atteinte à la sécurité et à l'intégrité des sites WordPress.

Règle de transfert ajoutée : arnaque par e-mail
Arnaque par e-mail : « Vérification de sécurité : confirmez que vous n’êtes pas un robot ».
Arnaque aux récompenses de vote Firelight
Arnaque par e-mail « Équipe d'investissement d'Elon Musk »
Faux site web Kintara
MARQUÉ:
Partager cet article
article précédent SharedProjector : protéger votre Mac contre les logiciels publicitaires
article suivant Notifications TG Pro : une menace ciblant les utilisateurs de Mac
Laisser un commentaire

Laissez un commentaire

Votre adresse courriel n'apparaitra pas. Les champs obligatoires sont marqués *

Analysez votre système à la recherche de logiciels malveillants

Ne laissez pas votre système sans protection. Télécharger SpyHunter Téléchargez-le gratuitement dès aujourd'hui et analysez votre appareil à la recherche de logiciels malveillants, d'arnaques ou de toute autre menace potentielle. Restez protégé !

Télécharger SpyHunter 5
✅ Analyse gratuite disponible • ⭐ Détecte instantanément les logiciels malveillants

CONDITIONS ET SERVICES