Cybersecurity-onderzoekers waarschuwen voor een grootschalige phishing-campagne die gericht is op WooCommerce-gebruikers met een nep-beveiligingswaarschuwing die hen aanspoort om een ”kritieke patch” te downloaden, maar in plaats daarvan een achterdeur implementeren.
WordPress Security Company PatchStack beschreef de activiteit als geavanceerd en een variant van een andere campagne waargenomen in december 2023 die een nep CVE -truc gebruikte om sites te breken die het populaire Content Management System (CMS) runnen.
Gezien de overeenkomsten in de phishing -e -mail lokt, de nep -webpagina’s en de identieke methoden die worden gebruikt om de malware te verbergen, wordt aangenomen dat de nieuwste aanvalsgolf het werk is van dezelfde dreigingsacteur of het is een nieuw cluster dat de eerdere nauwlettend nabootst.
“Ze beweren dat de beoogde websites worden beïnvloed door een (niet-bestaande) ‘niet-geauthenticeerde administratieve toegang’ kwetsbaarheid, en ze dringen er bij u op aan hun phishing-website te bezoeken, die een IDN-homograafaanval gebruikt om zich te vermommen zoals de officiële WooCommerce-website,” zei beveiligingsonderzoeker Chazz Wolcott.
Ontvangers van de phishing -e -mail worden aangespoord om op een link “Download patch” te klikken om de veronderstelde beveiligingsfix te downloaden en te installeren. Door dit te doen, wordt ze echter omleidend naar een spoofed WooCommerce-marktpagina georganiseerd op het domein “WooCommėrce (.) Com” (let op het gebruik van “ė” in plaats van “e”) van waar een ziparchief (“authbypass-update-31297-id.zip”) kan worden gedownload.
Slachtoffers worden vervolgens gevraagd om de patch te installeren, omdat ze elke reguliere WordPress -plug -in zouden installeren, waardoor de volgende reeks kwaadaardige acties effectief ontketenen –
- Maak een nieuwe gebruiker op beheerdersniveau met een verduisterde gebruikersnaam en een gerandomiseerd wachtwoord na het instellen van een willekeurig genoemde Cron-taak die elke minuut wordt uitgevoerd
- Stuur een HTTP GET-verzoek naar een externe server (“WooCommerce-Services (.) Com/WPAPI”) met informatie over de gebruikersnaam en het wachtwoord, samen met de URL van de geïnfecteerde website
- Stuur een HTTP GET-verzoek om een verzwakte lading van de volgende fase te downloaden van een tweede server (“WooCommerce-Help (.) Com/Activate” of “WooCommerce-API (.) Com/Activate”)
- Decodeer de payload om meerdere webschalen zoals PAS-Fork, P0WNY en WSO te extraheren
- Verberg de kwaadaardige plug -in uit de lijst met plug -in en verberg de gemaakte beheerdersaccount
Een netto resultaat van de campagne is dat het de aanvallers op afstand op afstand over de websites toestaat, waardoor ze spam of schetsmatige advertenties kunnen injecteren, sitebezoekers omleiden naar frauduleuze sites, de geschikte server in een botnet inzetten voor het uitvoeren van DDOS -aanvallen, en zelfs de serverbronnen als onderdeel van een extaalschema verslinden.
Gebruikers wordt geadviseerd om hun instanties te scannen op verdachte plug-ins of beheerdersaccounts en ervoor te zorgen dat de software up-to-date is.
