Una nuova minaccia sta prendendo di mira gli utenti di WooCommerce, il popolare plugin di e-commerce per WordPress.
Un’astuta campagna di phishing, recentemente scoperta dai ricercatori di Patchstack, si presenta come un avviso ufficiale di sicurezza, ma nasconde in realtà una backdoor che può compromettere completamente un sito web.
Indice degli argomenti
Phishing su WooCommerce: come inizia l’attacco
Tutto parte da un’e-mail camuffata da comunicazione ufficiale, inviata da indirizzi ingannevoli afferenti a woocommerce“help @ security-woocommerce[.]com.
Il messaggio avvisa l’utente di una presunta vulnerabilità critica denominata “Unauthenticated Administrative Access”, invitandolo a installare urgentemente un aggiornamento di sicurezza.
Fonte: Patchstack.
Il link fornito “DOWNLOAD PATCH” conduce infatti a un sito fraudolento che imita perfettamente nell’aspetto e con un attacco omografo il marketplace ufficiale di WooCommerce.
Un piccolo dettaglio, come una “ė” al posto della “e” nel nome del dominio (woocommėrce[.]com), potrebbe infatti facilmente passare inosservato, inducendo molte vittime a scaricare inconsapevolmente il presunto plugin correttivo in realtà malevolo.
Fonte: Patchstack.
Cosa succede dopo l’installazione
Secondo quanto riportato dal ricercatore Chazz Wolcott nel suo rapporto, un file zip denominato “authbypass-update-31297-id.zip” una volta scaricato come patch e installato come un normale plugin, eseguirà in background la propria attività, mascherandosi in una serie di hook legittimi di WordPress.
Una volta installato, il plugin dannoso agirebbe rapidamente:
- Creando un nuovo account amministratore, nascosto alla vista dell’amministratore legittimo.
- Comunicando con server remoti controllati per trasmettere i dettagli del sito compromesso.
- Scaricando ulteriori payload, inclusi strumenti di controllo remoto (web shell) che permettono agli attaccanti di eseguire comandi, inserire pubblicità invasive, rubare dati sensibili e persino criptare il database del sito per chiedere un riscatto ransomware. Tra i file più comuni scaricati ci sarebbero web shell come P.A.S-Fork, p0wny e WSO, nascoste nelle directory uploads (wp-content/uploads/…).
Indicatori di compromissione da non ignorare
Per questa campagna Patchstack ha condiviso degli IoC prelevati da un sito web compromesso. Riassumendo qualora si gestisca un sito WooCommerce, occorrerebbe prestare attenzione ai seguenti segnali:
La presenza di utenti amministratori sconosciuti con nomi di otto caratteri casuali.
- Cron job schedulati con nomi insoliti (es. mergeCreator655).
- Cartelle sospette come “authbypass-update” all’interno della directory “wp-content/plugins/”.
- File PHP non riconosciuti nella directory “wp-content/uploads/”.
- La generazione di richieste HTTP verso domini controllati dagli attaccanti quali woocommerce-services[.]com, woocommerce-api[.]com, e woocommerce-help[.]com.
Questa nuova campagna di phishing su WooCommerce dimostra quanto sia importante rimanere sempre vigili. In un ambiente digitale sempre più sofisticato, non basta solo aggiornare, bisogna anche saper riconoscere gli indizi di un attacco prima che sia troppo tardi.
Patchstack ritiene che la campagna in oggetto sia una variante osservata nel dicembre 2023 e che per violare i siti WordPress impiegava in quel caso una falso correttivo CVE-2023-45124.
Alcune evidenze dimostrerebbero infatti che l’ultima ondata di attacchi sia opera dello stesso autore della minaccia o di un nuovo attore ad esso ispirato.
