Μια εκστρατεία μεγάλης κλίμακας “ψαρέματος” στο στόχο του WooCommerce με μια ψεύτικη ειδοποίηση ασφαλείας που τους προτρέπει να κατεβάσει ένα “κρίσιμο έμπλαστρο” που προσθέτει ένα backdoor του WordPress στον ιστότοπο.
Οι παραλήπτες που λαμβάνουν το δόλωμα και κατεβάζουν την ενημέρωση εγκαθιστούν πραγματικά ένα κακόβουλο plugin που δημιουργεί έναν κρυφό λογαριασμό διαχειριστή στον ιστότοπό τους, κατεβάζει ωφέλιμα φορτία ιστού και διατηρεί επίμονη πρόσβαση.
Η εκστρατεία, η οποία ήταν Ανακαλύφθηκε από το patchstack Οι ερευνητές, φαίνεται να αποτελούν συνέχεια μιας παρόμοιας επιχείρησης τέλη 2023 Αυτό στοχεύει τους χρήστες του WordPress με ένα ψεύτικο έμπλαστρο για μια ευπάθεια φτιαγμένου.
Η PatchStack λέει ότι και οι δύο καμπάνιες χρησιμοποίησαν ένα ασυνήθιστο σύνολο κελυφών ιστού, ταυτόσημων μεθόδων απόκρυψης ωφέλιμου φορτίου και παρόμοιο περιεχόμενο ηλεκτρονικού ταχυδρομείου.
Ψεύτικη ειδοποίηση ασφαλείας
Τα μηνύματα ηλεκτρονικού ταχυδρομείου που στοχεύουν τους διαχειριστές WordPress Spoof το δημοφιλές plugin ηλεκτρονικού εμπορίου WooCommerce, χρησιμοποιώντας τη διεύθυνση “Βοήθεια@Security-Woomerce[.]com. ‘
Οι παραλήπτες ενημερώνονται ότι οι ιστοσελίδες τους στοχεύουν οι χάκερ που προσπαθούν να εκμεταλλευτούν μια ευπάθεια «μη αυθεντικής διοικητικής πρόσβασης».
Για να προστατεύσουν τα ηλεκτρονικά καταστήματα και τα δεδομένα τους, οι παραλήπτες συμβουλεύονται να κατεβάσουν ένα patch χρησιμοποιώντας το ενσωματωμένο κουμπί, με οδηγίες βήμα προς βήμα για το πώς να το εγκαταστήσετε στο μήνυμα.
“Είμαστε σε επαφή μαζί σας σχετικά με μια κρίσιμη ευπάθεια ασφαλείας που βρίσκεται στην πλατφόρμα WooCommerce στις 14 Απριλίου 2025”, αναφέρει τα μηνύματα ηλεκτρονικού ταχυδρομείου ηλεκτρονικού “ψαρέματος”.
“Προειδοποίηση: Η τελευταία μας σάρωση ασφαλείας, που πραγματοποιήθηκε στις 21 Απριλίου 2025, επιβεβαίωσε ότι αυτή η κρίσιμη ευπάθεια επηρεάζει άμεσα τον ιστότοπό σας”.
“Σας συμβουλεύουμε έντονα να λάβετε επείγοντα μέτρα για να εξασφαλίσετε το κατάστημά σας και να προστατεύσετε τα δεδομένα σας”, συνεχίζει το μήνυμα ηλεκτρονικού ταχυδρομείου για να προσθέσετε μια αίσθηση επείγουσας ανάγκης.
.jpg)
Πηγή: Patchstack
Κάνοντας κλικ στο κουμπί “Λήψη patch” παίρνει τα θύματα σε έναν ιστότοπο που spoofs woocommerce, χρησιμοποιώντας ένα πολύ παραπλανητικό “woocommėrce[.]Com ‘Domain που είναι μόνο ένας χαρακτήρας διαφορετικός από τον επίσημο, woocommerce.com.
Ο κακόβουλος τομέας χρησιμοποιεί μια τεχνική επίθεσης ομογραφίας όπου χρησιμοποιείται ο Λιθουανικός χαρακτήρας “ė” (U+0117) αντί για ένα “e”, καθιστώντας εύκολο να χάσετε.
.jpg)
Πηγή: Patchstack
Μετα-μόλυνση
Αφού το θύμα εγκαθιστά το ψεύτικο Fix Security (“AuthBypass-Update-31297-ID.ZIP”), δημιουργεί ένα τυχαία ονομασμένο Cronjob που τρέχει κάθε λεπτό, προσπαθώντας να δημιουργήσει ένα νέο χρήστη σε επίπεδο διαχειριστή.
Στη συνέχεια, το plugin καταγράφει τον μολυσμένο ιστότοπο μέσω ενός HTTP Get Request στο ‘WooCommerce-Services[.]com/wpapi, ‘και φέρνει ένα ωφέλιμο φορτίο δευτέρου σταδίου.
Αυτό, με τη σειρά του, εγκαθιστά πολλαπλά κελύφη ιστού που βασίζονται σε PHP κάτω από το WP-Content/Uploads/, συμπεριλαμβανομένων των PAS-Form, P0WNY και WSO.
Το PatchStack σχολιάζει ότι αυτά τα κελύφη ιστού επιτρέπουν τον πλήρη έλεγχο του ιστότοπου και θα μπορούσαν να χρησιμοποιηθούν για έγχυση διαφημίσεων, ανακατεύοντας τους χρήστες σε κακόβουλους προορισμούς, προσφέροντας τον διακομιστή σε botnets DDOS, κλέβοντας πληροφορίες κάρτας πληρωμής ή εκτέλεση ransomware για να κρυπτογραφήσει τον ιστότοπο και να εκτοπίσει τον ιδιοκτήτη.
Για να αποφύγει την ανίχνευση, το plugin αφαιρείται από την ορατή λίστα plugin και επίσης κρύβει τον κακόβουλο λογαριασμό διαχειριστή που δημιούργησε.
Το PatchStack συμβουλεύει τους ιδιοκτήτες ιστότοπων να ελέγχουν τους λογαριασμούς διαχειριστή για τυχαία ονόματα 8 χαρακτήρων, ασυνήθιστα cronjobs, ένα φάκελο που ονομάζεται ‘AuthBypass-Update’, και τα εξερχόμενα αιτήματα στο WooCommerce-Services[.]com, woocommerce-api[.]com, ή woocommerce-help[.]com.
Ωστόσο, η εταιρεία ασφαλείας σημειώνει ότι οι φορείς απειλής συνήθως αλλάζουν όλους αυτούς τους δείκτες μόλις εκτεθούν μέσω δημόσιας έρευνας, οπότε βεβαιωθείτε ότι δεν βασίζεστε σε σαρώσεις στενής διάσπασης.
VIA: bleepingcomputer.com
