Почему пользователи WooCommerce стали мишенью для изощренной фишинговой атаки с фальшивыми патчами?

Масштабная фишинговая кампания нацелилась на пользователей популярной платформы электронной коммерции WooCommerce. Злоумышленники рассылают поддельные уведомления о безопасности, предупреждающие о несуществующей уязвимости «Неаутентифицированный административный доступ». Пользователям настоятельно рекомендуется скачать «критический патч», который на самом деле устанавливает бэкдор на их сайты.
Почему пользователи WooCommerce стали мишенью для изощренной фишинговой атаки с фальшивыми патчами?
Изображение носит иллюстративный характер

Кампания была обнаружена компанией Patchstack, специализирующейся на безопасности WordPress. Эксперты отмечают, что текущая атака имеет сходство с кампанией, проведенной в декабре 2023 года, которая также использовала схему с поддельным CVE (Common Vulnerabilities and Exposures). Вероятно, за обеими атаками стоит один и тот же злоумышленник или новая группа, тщательно копирующая их методы.

В своей технике атаки хакеры используют так называемую IDN-гомографическую атаку, создавая фальшивый домен "woocommėrce[.]com", где вместо обычной латинской буквы "e" используется символ "ė" с диакритическим знаком. Фишинговые письма содержат ссылки «Скачать патч», которые перенаправляют жертв на поддельный маркетплейс WooCommerce. Ничего не подозревающие пользователи скачивают ZIP-архив с названием "authbypass-update-31297-id.zip".

Вредоносное ПО, содержащееся в архиве, обладает широким функционалом. Оно создает скрытые учетные записи администраторов, устанавливает бэкдор для связи с командными серверами и отправляет HTTP POST-запросы на "woocommerce-support[.]com/wpapi" с именем пользователя, паролем и URL-адресом взломанного сайта. Малварь также загружает дополнительную обфусцированную полезную нагрузку с доменов "woocommerce-help[.]com/activate" или "woocommerce-api[.]com/activate".

Особую опасность представляет развертывание нескольких веб-шеллов, включая P.A.S.-Fork, p0wny и WSO, которые обеспечивают злоумышленникам постоянный доступ к скомпрометированным системам. При этом вредоносный плагин и созданные администраторские аккаунты тщательно скрываются от обнаружения.

Последствия успешной атаки могут быть катастрофическими для владельцев сайтов. Злоумышленники получают возможность удаленного управления скомпрометированными веб-ресурсами, внедрения спама или сомнительной рекламы, перенаправления посетителей сайта на мошеннические ресурсы. Кроме того, взломанные серверы могут быть использованы в ботнетах для DDoS-атак или даже для шифрования серверных ресурсов с целью вымогательства.

Для защиты от подобных атак специалисты рекомендуют владельцам сайтов на WooCommerce провести сканирование на наличие подозрительных плагинов или неизвестных учетных записей администраторов. Также критически важно поддерживать все программное обеспечение в актуальном состоянии и устанавливать обновления только из официальных источников, тщательно проверяя подлинность доменов и сертификатов безопасности.

Данная фишинговая кампания демонстрирует растущую изощренность киберпреступников, которые все чаще используют сложные техники социальной инженерии и технические уловки для компрометации популярных платформ электронной коммерции. В условиях постоянно эволюционирующих угроз бдительность и применение многоуровневых мер безопасности становятся необходимыми элементами защиты цифровых активов.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка