Madrid, 5 Dic (Portaltic/EP) -.
Los investigadores han descubierto una nueva campaña de phishing que afecta a los administradores de cuentas de WordPress. Los ciberdelincuentes están enviando correos electrónicos instando a los usuarios a descargar un plugin para corregir un fallo de seguridad crítico que en realidad no existe.
Así lo han informado Wordfence Threat Intelligence y Patchstack, que están monitorizando este ataque masivo dirigido a usuarios de la plataforma. En este ataque, el atacante se hace pasar por el equipo de WordPress y les alerta del descubrimiento de una supuesta vulnerabilidad, identificada como CVE-2003-4524.
En concreto, el atacante busca que las víctimas descarguen un complemento que actúa como parche para solucionar un fallo de ejecución remota de código (RCE), pero que en realidad introduce un enlace a una falsa página de aterrizaje donde aparece este ‘plugin’ que actúa como puerta trasera.
Según la empresa de ciberseguridad, esta página fraudulenta, que imita el diseño de la interfaz de WordPress, contiene enlaces a ‘wordpress.secureplatform.org’, ‘en-gb-wordpress.org’ y otros nombres de dominio.
En la mayoría de los casos, se introduce un archivo descargable identificado como ‘cve-2023-45124.zip’ (aunque su nombre puede variar) y se instala en el ordenador, indicando que la vulnerabilidad ‘CVE-2023-45124 ha sido parcheada con éxito’.
La empresa de ciberseguridad Patchstack ha observado que los atacantes publican reseñas falsas en el propio sitio web de descarga del complemento para aumentar la confianza de las víctimas y conseguir que lo descarguen.
Entre los colaboradores y desarrolladores del parche se encuentran empleados de Automattic, la empresa matriz de WordPress, y usuarios de conocidas agencias de WordPress como 10up y MindSize.
Cuando los administradores de estas cuentas lo descargan e instalan en un sitio de WordPress, el plugin se instala con el slug identificado como ‘wpress.security-wordpress’ y el nombre ‘wpsecuritypatch’. Añade un nuevo administrador malicioso.
Una vez que este plugin se crea con éxito, los ciberdelincuentes pueden llevar a cabo ataques maliciosos como inyectar publicidad en los sitios web, robar información de facturación e incluso robar y extorsionar las cuentas de los administradores de WordPress.
Patchtack aclara que esta campaña no afecta a los usuarios que no hayan descargado o instalado este complemento malicioso. También recuerda que la plataforma no requiere la instalación de estas actualizaciones y que la nueva versión del núcleo de WordPress se lanza como una versión segura.
Para verificar que este complemento de puerta trasera no está realmente instalado en tu ordenador, debes comprobar que no existe un usuario llamado ‘wpsecuritypatch’, que no se envían peticiones a ‘wpgate.zip’ y que tienes una carpeta raíz de WordPress con un archivo » wp-autoload.php».
