Investigadores han descubierto una nueva campaña de 'phishing' que afecta a los administradores de cuentas de WordPress, a quienes los ciberdelincuentes envían correos electrónicos en los que se les insta a descargar un complemento o 'plugin' para solucionar una presunta falla crítica de seguridad que realmente no existe.
Así lo han denunciado desde Wordfence Threat Intelligence y Patchstack, que han monitorizado este ataque a gran escala entre los usuarios de esta plataforma, en el que los atacantes se hacen pasar por el equipo de Wordpress para advertir del descubrimiento de una presunta vulnerabilidad, identificada como CVE-2003-4524.
En concreto, estos buscan que las víctimas descarguen un complemento que funciona como un parche para supuestamente solucionar dicha falla de ejecución remota de código (RCE), pero que en realidad introduce un enlace a una página de destino falsa donde se muestra este 'plugin', que actúa como una puerta trasera.
Esta página fraudulenta, que clona el diseño de la interfaz de WordPress, incluye nombres de dominio como 'wordpress.secureplatform.org' o 'en-gb-wordpress.org' y 'en-gb-wordpress.org', según han adelantado estas firmas de ciberseguridad.
En ella se introduce un archivo de descarga, identificado en la mayoría de los casos como 'cve-2023-45124.zip' -aunque su nombre puede variar-, que una vez instalado en el equipo muestra que la vulnerabilidad 'CVE-2023-45124 se ha parcheado correctamente'.
Para generar confianza en las víctimas e inducirles a su descarga, los atacantes introducen reseñas falsas en el mismo sitio web de descarga del complemento, según ha observado la empresa de ciberseguridad Patchstack.
Asimismo, entre los contribuyentes y desarrolladores del parche también se introducen empleados de Automattic -matriz de WordPress-, así como usuarios de agencias conocidas de WordPress, como 10up y MindSize.
En caso de que los administradores de estas cuentas lo descarguen y los instalen en su página de WordPress, el complemento se instala con un 'slug' identificado como 'wpress.security-wordpress' y añade un nuevo administrador malicioso con el nombre 'wpsecuritypatch'.
Una vez este complemento se ha creado correctamente, los ciberdelincuentes pueden llevar a cabo ataques maliciosos como inyectar publicidad en el sitio web, robar información de los datos de facturación e, incluso, chantajear a los administradores de WordPress con el robo de sus cuentas.
Desde Patchtack han aclarado que esta campaña no tiene ningún impacto en aquellos usuarios que no descarguen ni instalen este complemento malicioso. Asimismo, ha recordado que esta plataforma nunca solicita la instalación de estas actualizaciones, sino que publica nuevas versiones del núcleo de WordPress como versión de seguridad.
Para salir de dudas y asegurarse de que realmente este complemento de puerta trasera no está instalado en el equipo, se debe comprobar que no existe un usuario con el nombre 'wpsecuritypatch', solicitudes salientes enviadas a 'wpgate.zip' ni un archivo llamado 'wp-autoload.php' presente en la carpeta raíz de WordPress.