Beheerders van WordPress-sites zijn het doelwit van een phishingaanval waarbij wordt geprobeerd om een malafide extensie geïnstalleerd te krijgen die als backdoor fungeert. Volgens de phishingmail die de aanvallers versturen en van het WordPress Security Team afkomstig lijkt, bevat de website van de beheerder een kritieke kwetsbaarheid. Daarbij wordt ook gebruik gemaakt van een verzonnen CVE-nummer.
Om het probleem te verhelpen wordt aangeraden om de in de e-mail gelinkte plug-in te installeren en activeren. Het .org-domein waarop de plug-in wordt aangeboden heeft de naam WordPress in zich en is verder een bijna identieke kopie van de echte WordPress.org website. De aangeboden "Security Update Plugin" is in werkelijkheid een malafide extensie die een malafide beheerder genaamd 'wpsecuritypatch' toevoegt.
De extensie bevat ook functionaliteit om deze gebruiker te verbergen. Verder installeert de extensie een PHP-backdoor met een hardcoded wachtwoord. Daarmee hebben aanvallers op verschillende manieren volledige controle over de website, zo meldt securitybedrijf Wordfence.
Deze posting is gelocked. Reageren is niet meer mogelijk.