image

WordPress-beheerders doelwit van phishingaanval met malafide extensie

zaterdag 2 december 2023, 08:21 door Redactie, 4 reacties

Beheerders van WordPress-sites zijn het doelwit van een phishingaanval waarbij wordt geprobeerd om een malafide extensie geïnstalleerd te krijgen die als backdoor fungeert. Volgens de phishingmail die de aanvallers versturen en van het WordPress Security Team afkomstig lijkt, bevat de website van de beheerder een kritieke kwetsbaarheid. Daarbij wordt ook gebruik gemaakt van een verzonnen CVE-nummer.

Om het probleem te verhelpen wordt aangeraden om de in de e-mail gelinkte plug-in te installeren en activeren. Het .org-domein waarop de plug-in wordt aangeboden heeft de naam WordPress in zich en is verder een bijna identieke kopie van de echte WordPress.org website. De aangeboden "Security Update Plugin" is in werkelijkheid een malafide extensie die een malafide beheerder genaamd 'wpsecuritypatch' toevoegt.

De extensie bevat ook functionaliteit om deze gebruiker te verbergen. Verder installeert de extensie een PHP-backdoor met een hardcoded wachtwoord. Daarmee hebben aanvallers op verschillende manieren volledige controle over de website, zo meldt securitybedrijf Wordfence.

Image

Reacties (4)
Phishing aanval van de bovensten plank, goed opgezet en tijd aan besteed.
Echter, met goede security awareness training is dit prima te spotten want heeft alle kenmerken van een phishing aanval: urgentie, nep afzenders, URL's die erg lijken op de originele website, website zelf die nagenoeg hetzelfde eruit ziet.
03-12-2023, 19:56 door Anoniem
Tijd om die maker daarvan even een paar jaar in Pieter Baan te plaatsen.
04-12-2023, 13:10 door Arie de Kanarie
Oh ja en de gemiddelde beheerder download dan meteen een plugin.... :-(
04-12-2023, 15:37 door Anoniem
Door Arie de Kanarie: Oh ja en de gemiddelde beheerder download dan meteen een plugin.... :-(
De gemiddelde Wordpress beheerder is niet meer dan een eind gebruiker en niet een ITer met cybersecurity kennis.

Wat ik alleen niet begrijp is waarom WordFence niet de domeinen, IP's vrijgeeft waar van af de mails zijn gestuurd. Want het is leuk dat er een waarschuwing wordt gestuurd over een phising bericht maar als we geen ASN of range informatie hebben om te rapporteren kunnen we lastig proactief mensen beschermen die zelf beheer doen. Er staat namelijk niks in het voorbeeld op de download link na dat mogelijk in een bayes score database verwerkt kan worden zonder dat het false positives veroorzaakt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.