Pesquisadores de cibersegurança estão alertando sobre uma campanha de phishing em larga escala direcionada a usuários do WooCommerce com um falso alerta de segurança que os instiga a baixar um "patch crítico", mas, na verdade, instala um backdoor.
A empresa de segurança WordPress, Patchstack, descreveu a atividade como sofisticada e uma variante de outra campanha observada em dezembro de 2023, que utilizou uma artimanha de CVE falso para invadir sites que executam o popular sistema de gerenciamento de conteúdo (CMS).
Devido às semelhanças nos gatilhos de emails phishing, as páginas web falsas e os métodos idênticos empregados para ocultar o malware, acredita-se que a nova onda de ataques seja obra do mesmo ator de ameaças ou trata-se de um novo grupo imitando de perto o anterior.
"Eles afirmam que os sites visados são impactados por uma vulnerabilidade inexistente de 'Acesso Administrativo Não Autenticado' e instam você a visitar o site de phishing deles, que usa um ataque de homografia IDN para se disfarçar como o site oficial do WooCommerce," disse o pesquisador de segurança Chazz Wolcott.
Os destinatários do email phishing são instigados a clicar em um link "Baixar Patch" para baixar e instalar o suposto conserto de segurança.
No entanto, ao fazer isso, são redirecionados para uma página falsa do WooCommerce Marketplace hospedada no domínio "woocommėrce[.]com" (note o uso de "ė" no lugar de "e") de onde podem baixar um arquivo ZIP ("authbypass-update-31297-id.zip").
As vítimas são então solicitadas a instalar o patch como se instalariam qualquer plugin regular do WordPress, desencadeando efetivamente a seguinte série de ações maliciosas:
- Criar um novo usuário com nível de administrador com um nome de usuário ofuscado e uma senha aleatória após configurar um trabalho cron nomeado aleatoriamente que é executado a cada minuto;
- Enviar uma solicitação HTTP GET para um servidor externo ("woocommerce-services[.]com/wpapi") com informações sobre o nome de usuário e senha, juntamente com a URL do site infectado;
- Enviar uma solicitação HTTP GET para baixar um payload ofuscado de próxima fase de um segundo servidor ("woocommerce-help[.]com/activate" ou "woocommerce-api[.]com/activate");
- Decodificar o payload para extrair múltiplos web shells como P.A.S.-Fork, p0wny e WSO;
- Ocultar o plugin malicioso da lista de plugins e esconder a conta de administrador criada;
O resultado final da campanha é que ela permite aos atacantes controle remoto sobre os sites, possibilitando-lhes injetar spam ou anúncios duvidosos, redirecionar os visitantes do site para sites fraudulentos, alistar o servidor violado em um botnet para realizar ataques DDoS e até criptografar os recursos do servidor como parte de um esquema de extorsão.
Aconselha-se que os usuários escaneiem suas instâncias em busca de plugins suspeitos ou contas de administrador, e garantam que o software esteja atualizado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...