Per i cybercriminali ottenere l’accesso a siti Web legittimi per corromperli e sfruttarli a proprio piacimento è una priorità assoluta. In questo senso, il team di Patchstack ha individuato una campagna malware alquanto astuta che sta prendendo i mira il noto CMS WordPress.
Stiamo parlando di un’operazione che fa leva sulla paura degli amministratori dei siti, terrorizzandoli con un’e-mail che comunica come il sito sia vittima di una fantomatica vulnerabilità Remote Code Execution (RCE) classificata come CVE-2023-45124. I cybercriminali spingono dunque l’utente ad utilizzare immediatamente una presunta patch creata dal tema di WordPress per correggere l’exploit.
Tutto ciò non è altro che una montatura: il plugin proposto per proteggere il sito dalla vulnerabilità, non è altro che un malware che va esso stesso ad intaccare l’integrità di WordPress.
La fantomatica patch per WordPress si rivela una temibile backdoor
Il link condiviso tramite l’e-mail porta a un presunto plugin, con un sito phishing che si presenta molto simile all’originale WordPress.org per grafica. Non mancano, come da prassi in questi casi, le recensioni fasulle per elogiare l’estensione e spingere ulteriormente l’utente verso il download e l’installazione.
Secondo quanto emerso dagli studi di Patchstack, la campagna sfrutta figure di spicco dell’ecosistema di WordPress, tra cui sviluppatori di un certo rilievo, per aumentare la credibilità dal plugin malevolo.
Una volta che il componente aggiuntivo viene installato, questo esegue il download sullo spazio a disposizione del sito di un archivio ZIP. Quando ciò avviene, il malware tende a tranquillizzare l’amministratore con il messaggio “CVE-2023-45124 has been patched successfully” (ovvero CVE-2023-45124 è stato patchato con successo). L’utente viene poi incoraggiato a condividere la patch tra gli altri admin che conosce.
Una volta attivato, il malware tende a prendere possesso del sito, nascondendo se stesso e l’account dell’amministratore, il tutto grazie all’ottenimento di privilegi elevati. Quando l’infezione è avvenuta, l’agente malevolo crea una backdoor che, molto probabilmente, in futuro sarà utilizzata dai cybercriminali per diversi scopi. Stando ai ricercatori, si parla di abusi come inserimento forzato di annunci pubblicitari, nel caso più fortunato, fino al furto di database (e conseguente estorsione) o azioni simili.
Va ricordato a chiunque utilizza questo CMS come WordPress non chiede mai di installare patch via e-mail. In caso di necessità, infatti, gli sviluppatori si limitano a proporre una nuova versione della piattaforma, senza necessità di diffondere link tramite posta elettronica.