Trong thế giới an ninh mạng ngày càng phát triển, cảnh giác là điều tối quan trọng. Gần đây, một chiêu trò lừa đảo đã xuất hiện, nhắm mục tiêu vào những người dùng WordPressbằng một lỗ hổng bảo mật giả mạo là CVE-2023-45124. Mưu mẹo tinh vi này đã được phát hiện bởi Nhóm tình báo mối đe dọa Wordfence .
Thoạt nhìn, Email lừa đảo phishing có vẻ hợp lệ, được cho là từ đội ngũ WordPress. Nó cảnh báo về một lỗ hổng thực thi mã từ xa trên trang web của người dùng, đề cập đến mã CVE-2023-45124 không tồn tại. Tuy nhiên, điểm nhấn thực sự là giải pháp được đề xuất – một plugin “bản vá” hứa hẹn bảo vệ trang web.
Đường liên kết tải về trong email chuyển hướng người dùng đến một trang giả mạo với giao diện tin cậy, ẩn dưới tên miền en-gb-wordpress[.]org. Tại đây người dùng bị lôi kéo vào việc tải về và cài đặt plugin, khiến người dùng tin rằng họ đang tăng cường bảo mật cho trang web của mình.
Tuy nhiên, plugin đã được cài đặt ẩn chứa nhiều rủi ro dưới ‘wpress-security-wordpress’, âm thầm thêm một người dùng quản trị độc hại có tên ‘wpsecuritypatch’ vào trang web WordPress. Người dùng lừa đảo này (không ai có thể thấy) gửi URL và một mật khẩu được tạo tự động đến một tên miền kiểm soát và điều khiển, tạo cơ hội cho kẻ tấn công.
Trò lừa đảo này không chỉ dừng lại ở đó, Plugin cũng tải về một tệp ở backdoor riêng biệt, ‘wp-autoload.php’, từ cùng một tên miền, đặt nó trong thư mục gốc của trang web. Tệp này có khả năng không an toàn với người dùng bao gồm: quản lý tệp, SQL client, PHP console, dòng lệnh, và thông tin chi tiết về môi trường.
Những công cụ này giúp kẻ tấn công có quyền kiểm soát toàn diện trên trang web WordPress và tài khoản người dùng web trên máy chủ. Điều đáng lo ngại hơn là chúng duy trì kiểm soát một cách âm thầm, đảm bảo sự truy cập liên tục và không bị phát hiện.
Nhóm Wordfence đã xác định được một số dấu hiệu của việc thỏa hiệp. Điều này bao gồm sự hiện diện của tệp ‘wp-autoload.php’ trong webroot, plugin wpress-security-wordpress, người dùng quản trị viên ẩn danh và tương tác với các miền độc hại (the hidden admin user, and interactions with the malicious domains).
Wordfence đã phản ứng nhanh chóng, cập nhật hệ thống để nhận diện và đối phó với mối đe doạ này. Wordfence kêu gọi tất cả người dùng WordPress phải cảnh giác với email lừa đảo và không tải xuống hoặc cài đặt các plugin đáng ngờ.
