Email spam merupakan strategi yang sangat sederhana dan mudah diaplikasikan oleh siapa saja. Selain hemat biaya, serangan ini bisa dilakukan secara random atau menjadi serangan bertarget. Seperti dalam kasus email palsu keamanan WordPress Palsu.
Administrator WordPress menerima email berisi nasihat keamanan WordPress palsu untuk kerentanan fiktif yang dilacak sebagai CVE-2023-45124 untuk menginfeksi situs dengan plugin berbahaya.
Operasi ini telah diketahui dan dilaporkan oleh pakar keamanan siber di WordPress, yang menerbitkan peringatan di situs mereka untuk meningkatkan kesadaran.
Baca juga: Permukaan Serangan atau Attack Surface |
Pembaruan WordPress Palsu
Email tersebut berpura-pura berasal dari WordPress, memperingatkan bahwa kelemahan kritis eksekusi kode jarak jauh (RCE) baru pada platform terdeteksi di situs admin.
Email tersebut secara persuasif mendesak pengguna untuk mengunduh dan menginstal plugin yang diduga mengatasi masalah keamanan.
Mengklik tombol Unduh Plugin di email akan membawa korban ke halaman arahan palsu di en-gb-wordpress[.]org yang terlihat identik dengan situs wordpress.com yang sah.
Ulasan Palsu
Entri untuk plugin palsu menunjukkan kemungkinan jumlah unduhan yang meningkat sebesar 500.000, menunjukkan bahwa email palsu keamanan WordPress palsu berhasil.
Yang menarik adanya beberapa ulasan pengguna palsu yang menguraikan bagaimana patch memulihkan situs mereka yang disusupi dan membantu mereka menggagalkan serangan peretas.
Sebagian besar ulasan pengguna adalah ulasan bintang lima, namun ulasan bintang empat, tiga, dan satu dimasukkan untuk membuatnya tampak lebih realistis.
Baca juga: Phising Induk Ragam Serangan |
Cara Kerja Plugin
Setelah instalasi, plugin membuat pengguna admin tersembunyi bernama wpsecuritypatch dan mengirimkan informasi tentang korban ke server perintah dan kontrol penyerang (C2) di wpgate[.]zip.
Selanjutnya, plugin mengunduh payload backdoor berkode base64 dari C2 dan menyimpannya sebagai wp-autoload.php di webroot situs web.
Backdoor menampilkan kemampuan manajemen file, klien SQL, konsol PHP, dan terminal baris perintah serta menampilkan informasi rinci tentang lingkungan server kepada pelaku.
Plugin berbahaya menyembunyikan dirinya dari daftar plugin yang diinstal, sehingga diperlukan pencarian manual di direktori root situs untuk menghapusnya.
Tujuan Plugin
Saat ini, tujuan operasional plugin masih belum diketahui. Namun, pakar keamanan berspekulasi bahwa itu mungkin digunakan untuk:
-
Memasukkan iklan ke situs yang disusupi.
-
Melakukan pengalihan pengunjung.
-
Mencuri informasi sensitif.
-
Memeras pemilik dengan mengancam akan membocorkan konten database situs web mereka.
Demikian pembahasan mengenai email palsu keamanan WordPress Palsu, semoga informasi yang disampaikan dapat bermanfaat.
Sumber berita: