資安威脅趨勢 - 駭客假借WordPress名義,向受害者發送惡意郵件
駭客假借WordPress名義,向受害者發送惡意郵件
一、摘要
WordPress資安顧問Wordfence和PatchStack揭露近期發現的惡意行動,攻擊者虛構WordPress安全通報的電子郵件,藉以引誘使用者安裝惡意程式,導致網站遭到感染。
二、存在風險
WordPress資安顧問Wordfence和PatchStack揭露近期發現的惡意行動,攻擊者虛構WordPress安全通報的電子郵件,其內容說明平台存在嚴重的遠端代碼執行之漏洞,並且建議使用者可以盡快下載和安裝插件來修補相關漏洞。
![]() |
偽裝WordPress安全公告的釣魚郵件[圖片來自:PatchStack] |
當使用者雙擊郵件的【下載插件】按鈕後,會被導向到假的網站「en-gb-wordpress[.]org」,該連結看似與WordPress官方網站相似,但卻不相同,因合法的WordPress網站連結為「wordpress.com」。
![]() |
假的WordPress網站[圖片來自:PatchStack] |
假的WordPress網站不僅藉由評論的方式說明插件是如何協助他們恢復受到損害的網站並且如何阻饒駭客攻擊,也誇大了下載次數,其高達500,000次。除上述描述,攻擊者為了讓更多人相信,不僅顯示多數的五星評論,也夾雜了1~4星的評論。
![]() |
假的使用者評論[圖片來自:Wordfence] |
一旦使用者安裝成功,惡意插件不僅會創建一個隱藏的admin帳號(被命名為wpsecuritypatch),也會傳送受害者資訊到駭客指定的C2系統「wpgate[.]zip」。
下一階段攻擊流程中,攻擊者也會從C2下載base64-encoded的惡意酬載並命名為wp-autoload.php存放在網站的webroot路徑下,後門軟體具備SQL Client、PHP Console、Command line Terminal等特色,且也可以顯示詳細的伺服器環境資訊。
註: 酬載:此指檔案包殼,躲避資安設備、防毒軟體及端點的檢測並運送到目的主機的代碼。
![]() |
後門軟體功能[圖片來自:Wordfence] |
建議改善措施:
- 不要隨意點擊來路不明連結和下載檔案。
- 針對漏洞資訊可以多方查證,如維護廠商、官方網站。
- 將惡意網域加入防火牆中進行聯防作業。
- 儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。