WordPress-beheerders doelwit van phishingaanval met malafide extensie
Beheerders van WordPress-sites zijn het doelwit van een phishingaanval waarbij wordt geprobeerd om een malafide extensie geïnstalleerd te krijgen die als backdoor fungeert. Volgens de phishingmail die de aanvallers versturen en van het WordPress Security Team afkomstig lijkt, bevat de website van de beheerder een kritieke kwetsbaarheid. Daarbij wordt ook gebruik gemaakt van een verzonnen CVE-nummer.
Om het probleem te verhelpen wordt aangeraden om de in de e-mail gelinkte plug-in te installeren en activeren. Het .org-domein waarop de plug-in wordt aangeboden heeft de naam WordPress in zich en is verder een bijna identieke kopie van de echte WordPress.org website. De aangeboden "Security Update Plugin" is in werkelijkheid een malafide extensie die een malafide beheerder genaamd 'wpsecuritypatch' toevoegt.
De extensie bevat ook functionaliteit om deze gebruiker te verbergen. Verder installeert de extensie een PHP-backdoor met een hardcoded wachtwoord. Daarmee hebben aanvallers op verschillende manieren volledige controle over de website, zo meldt securitybedrijf Wordfence.
Echter, met goede security awareness training is dit prima te spotten want heeft alle kenmerken van een phishing aanval: urgentie, nep afzenders, URL's die erg lijken op de originele website, website zelf die nagenoeg hetzelfde eruit ziet.
Wat ik alleen niet begrijp is waarom WordFence niet de domeinen, IP's vrijgeeft waar van af de mails zijn gestuurd. Want het is leuk dat er een waarschuwing wordt gestuurd over een phising bericht maar als we geen ASN of range informatie hebben om te rapporteren kunnen we lastig proactief mensen beschermen die zelf beheer doen. Er staat namelijk niks in het voorbeeld op de download link na dat mogelijk in een bayes score database verwerkt kan worden zonder dat het false positives veroorzaakt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
