Wordfence Scam Hinweis (EN)

PSA: Fake CVE-2023-45124 Phishing Scam Tricks Users Into Installing Backdoor Plugin

The Wordfence Threat Intelligence Team has recently been informed of a phishing campaign targeting WordPress users. The Phishing email claims to be from the WordPress team and warns of a Remote Code Execution vulnerability on the user’s site with an identifier of CVE-2023-45124, which is not currently a valid CVE. The email prompts the victim to download a “Patch” plugin and install it.

If the victim downloads the plugin and installs it on their WordPress site, the plugin is installed with a slug of wpress-security-wordpress and adds a malicious administrator user with the username wpsecuritypatch. It then sends the site URL and generated password for this user back to a C2 domain: wpgate[.]zip. The malicious plugin also includes functionality to ensure that this user remains hidden. Additionally, it downloads a separate backdoor from wpgate[.]zip and saves it with a filename of wp-autoload.php in the webroot. This separate backdoor includes a hardcoded password that includes a file manager, a SQL Client, a PHP Console, and a Command Line Terminal, in addition to displaying server environment information.

 

Den ganzen Bericht auf Wordfence.com in Englisch lesen >>>

WEBSITE RELAUNCH ab 850,00 €

Leistung: Umstellung Ihrer alten Website bis max. 10 Unterseiten auf ein neues modernes WordPress CMS mit Elementor Page Builder (für ein Jahr Pro Version kostenlos inkludiert) inklusive aller modernen Features und Responsive Design (perfekt aussehend auf allen Geräten (Handys, Tablets und Destop). Texte und Bilder werden von Ihnen beigestellt. (Eventuelle Serverumstellung und technische Änderungen werden gesondert verrechnet) - kostenlose Beratung möglich! Senden Sie uns einfach Ihre Daten und Ihre Website, Angebot kommt umgehend per E-Mail - bis bald, webonly