Campania de phishing la scară largă vizează utilizatorii WooCommerce cu o alertă falsă de securitate care îi îndeamnă să descarce un „patch critic” care adaugă o ușă din spate WordPress pe site-ul lor.
Destinatarii care cad în capcană și descarcă actualizarea instalează de fapt un modul malefic care creează un cont de administrator ascuns pe site-ul lor, descarcă sarcini de shell web și menține accesul persistent.
Campania, descoperită de cercetătorii Patchstack, pare să fie o continuare a unei operațiuni similare din 2023 care a vizat utilizatorii WordPress cu un patch fals pentru o vulnerabilitate inventată.
Patchstack spune că ambele campanii au folosit un set neobișnuit de shell-uri web, metode identice de ascundere a sarcinilor și conținut de email similar.
Emailurile care vizează administratorii WordPress falsifică plugin-ul popular de comerț electronic WooCommerce, folosind adresa ‘help@security-woocommerce[.]com’.
Destinatarii sunt informați că site-urile lor au fost vizate de hackeri care încearcă să exploateze o vulnerabilitate de „acces administrativ neautentificat”.
Pentru a-și proteja magazinele online și datele, destinatarii sunt sfătuiți să descarce un patch utilizând butonul încorporat, cu instrucțiuni pas cu pas despre cum să-l instaleze incluse în mesaj.
„Vă contactăm în legătură cu o vulnerabilitate critică de securitate găsită în platforma WooCommerce la 14 aprilie 2025,” se arată în emailurile de phishing.
„Avertisment: Scanarea noastră de securitate cea mai recentă, efectuată la 21 aprilie 2025, a confirmat că această vulnerabilitate critică afectează direct site-ul dvs.”
„Vă sfătuim cu tărie să luați măsuri urgente pentru a vă securiza magazinul și a vă proteja datele,” continuă emailul pentru a adăuga un sentiment de urgență.
Făcând clic pe butonul „Descarcă patch-ul”, victimele sunt direcționate către un site care falsifică WooCommerce, folosind un domeniu foarte înșelător „woocommėrce[.]com” care este diferit printr-un singur caracter de oficialul woocommerce.com.
Domeniul malefic folosește o tehnică de atac homograf în care caracterul lituanian „ė” (U+0117) este folosit în loc de „e”, făcându-l ușor de omis.
După ce victimă instalează soluția falsă de securitate („authbypass-update-31297-id.zip”), aceasta creează un cronjob cu nume aleatoriu care rulează în fiecare minut, încercând să creeze un utilizator nou de nivel administrator.
Apoi, modulul înregistrează site-ul infectat printr-o cerere GET HTTP către ‘woocommerce-services[.]com/wpapi’ și descarcă o sarcină obfuscată în a doua etapă.
Aceasta, la rândul său, instalează mai multe shell-uri web bazate pe PHP sub „wp-content/uploads/”, inclusiv P.A.S.-Form, p0wny și WSO.
Patchstack comentează că aceste shell-uri web permit controlul complet al site-ului și ar putea fi folosite pentru injectarea de reclame, redirecționarea utilizatorilor către destinații malefice, înrolarea serverului în botneturi DDoS, furtul de informații despre carduri de plată sau executarea de ransomware pentru a cripta site-ul și a șantaja proprietarul.
Pentru a evita detectarea, modulul se șterge din lista vizibilă a modulelor și ascunde, de asemenea, contul de administrator malefic creat.
Patchstack sfătuiește proprietarii de site-uri să examineze conturile de administrator pentru nume aleatorii de 8 caractere, cronjoburi neobișnuite, un folder numit ‘authbypass-update’ și cereri de ieșire către woocommerce-services[.]com, woocommerce-api[.]com sau woocommerce-help[.]com.
Cu toate acestea, firma de securitate remarcă că actorii amenințării schimbă în mod tipic toți acești indicatori o dată ce sunt expuși prin cercetare publică, așa că asigurați-vă că nu vă bazați pe scanări cu un scop îngust.
Hackerii abuzează de WordPress MU-Plugins pentru a ascunde coduri malefice
Modulul de securitate WordPress WP Ghost vulnerabil la o eroare de execuție de cod la distanță
Hackerii abuzează de fluxurile OAuth 2.0 pentru a prelua conturile Microsoft 365
Detecția phishing-ului este defectuoasă: De ce majoritatea atacurilor par a fi zero-day
Modulele WordPress de fraudă cu reclame au generat 1,4 miliarde de cereri de reclame pe zi
Leave a Reply