Patchstackは12月3日(現地時間)、「Fake CVE Phishing Campaign Tricks WordPress Users Into Installing Malware」において、偽の脆弱性「CVE-2023-45124」を修正するとして悪意のあるWordPressプラグインを配布する大規模なフィッシングキャンペーンを確認したとして注意喚起した。このキャンペーンで送信されるフィッシングメールでは、リモートコード実行(RCE: Remote Code Execution)の脆弱性を修正すると主張している。
-
Fake CVE Phishing Campaign Tricks WordPress Users Into Installing Malware
Patchstackによると、このキャンペーンで送付されるフィッシングメールは公式のWordPressから送ったように見せかけているという。内容は、WordPressサイトにリモートコード実行の脆弱性が確認されたため、次のアップデートまでの間、指定のプラグインをインストールするように求めるものとなっている。
-
フィッシングメールの例 引用:Patchstack
このフィッシングメールに記載されたプラグインのダウンロードリンクをクリックすると、公式のWordPressサイトに似せたフィッシングサイトにリダイレクトされる。このフィッシングサイトのドメイン名は「wordpress[.]secureplatform[.]org」や「en-gb-wordpress[.]org」となっており、公式サイトと間違えるようなドメイン名を使用している。
-
フィッシングサイトの例 引用:Patchstack
フィッシングサイトではプラグインのアクティブなインストールユーザー数を50万以上と表示しているが、これは安心感を与えるために偽の数値を表示しているとみられている。また、偽のユーザーレビュも表示する徹底ぶりで、多くのユーザーがこのプラグインに感謝しているかのような印象操作を行っている。
Patchstackの分析によると、このプラグインをインストールして有効化すると次の処理が実行されるという。
- 新しく管理者権限を持つユーザー「wpsecuritypatch」をランダムなパスワードと共に作成する
- 感染したサイトのURLと先程作成した管理者のパスワードをBase64エンコードして、攻撃者のサーバ「wpgate[.]zip/wpapi」へ送信する
- 攻撃者のサーバ「wpgate[.]zip/runscan」からバックドアをダウンロードし、サイトのルートに「wp-autoload.php」として保存する
- プラグインをプラグインの一覧から非表示にし、作成した管理者アカウントも非表示にする
現在のところ、設置されたバックドアの使用目的はわかっていない。しかしながら、将来的にはさらに悪用される可能性が高いとみられている。なお、このバックドアは「GitHub - cr1f/P.A.S.-Fork: A modified version of the well-known webshell - P.A.S. by Profexer. Tries to solve the problem of detecting some requests and responses by various WAF/IDS.」とほぼ同等のものとされる。
Patchstackは、キャンペーンとプラグインの分析で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開している。だたし、これら情報は攻撃者によって容易に変更できるとして参考程度に活用することを推奨している。
