Масштабная фишинговая кампания нацелилась на пользователей популярной платформы электронной коммерции WooCommerce. Злоумышленники рассылают поддельные уведомления о безопасности, предупреждающие о несуществующей уязвимости «Неаутентифицированный административный доступ». Пользователям настоятельно рекомендуется скачать «критический патч», который на самом деле устанавливает бэкдор на их сайты.
Кампания была обнаружена компанией Patchstack, специализирующейся на безопасности WordPress. Эксперты отмечают, что текущая атака имеет сходство с кампанией, проведенной в декабре 2023 года, которая также использовала схему с поддельным CVE (Common Vulnerabilities and Exposures). Вероятно, за обеими атаками стоит один и тот же злоумышленник или новая группа, тщательно копирующая их методы.
В своей технике атаки хакеры используют так называемую IDN-гомографическую атаку, создавая фальшивый домен "woocommėrce[.]com", где вместо обычной латинской буквы "e" используется символ "ė" с диакритическим знаком. Фишинговые письма содержат ссылки «Скачать патч», которые перенаправляют жертв на поддельный маркетплейс WooCommerce. Ничего не подозревающие пользователи скачивают ZIP-архив с названием "authbypass-update-31297-id.zip".
Вредоносное ПО, содержащееся в архиве, обладает широким функционалом. Оно создает скрытые учетные записи администраторов, устанавливает бэкдор для связи с командными серверами и отправляет HTTP POST-запросы на "woocommerce-support[.]com/wpapi" с именем пользователя, паролем и URL-адресом взломанного сайта. Малварь также загружает дополнительную обфусцированную полезную нагрузку с доменов "woocommerce-help[.]com/activate" или "woocommerce-api[.]com/activate".
Особую опасность представляет развертывание нескольких веб-шеллов, включая P.A.S.-Fork, p0wny и WSO, которые обеспечивают злоумышленникам постоянный доступ к скомпрометированным системам. При этом вредоносный плагин и созданные администраторские аккаунты тщательно скрываются от обнаружения.
Последствия успешной атаки могут быть катастрофическими для владельцев сайтов. Злоумышленники получают возможность удаленного управления скомпрометированными веб-ресурсами, внедрения спама или сомнительной рекламы, перенаправления посетителей сайта на мошеннические ресурсы. Кроме того, взломанные серверы могут быть использованы в ботнетах для DDoS-атак или даже для шифрования серверных ресурсов с целью вымогательства.
Для защиты от подобных атак специалисты рекомендуют владельцам сайтов на WooCommerce провести сканирование на наличие подозрительных плагинов или неизвестных учетных записей администраторов. Также критически важно поддерживать все программное обеспечение в актуальном состоянии и устанавливать обновления только из официальных источников, тщательно проверяя подлинность доменов и сертификатов безопасности.
Данная фишинговая кампания демонстрирует растущую изощренность киберпреступников, которые все чаще используют сложные техники социальной инженерии и технические уловки для компрометации популярных платформ электронной коммерции. В условиях постоянно эволюционирующих угроз бдительность и применение многоуровневых мер безопасности становятся необходимыми элементами защиты цифровых активов.
Изображение носит иллюстративный характер
Кампания была обнаружена компанией Patchstack, специализирующейся на безопасности WordPress. Эксперты отмечают, что текущая атака имеет сходство с кампанией, проведенной в декабре 2023 года, которая также использовала схему с поддельным CVE (Common Vulnerabilities and Exposures). Вероятно, за обеими атаками стоит один и тот же злоумышленник или новая группа, тщательно копирующая их методы.
В своей технике атаки хакеры используют так называемую IDN-гомографическую атаку, создавая фальшивый домен "woocommėrce[.]com", где вместо обычной латинской буквы "e" используется символ "ė" с диакритическим знаком. Фишинговые письма содержат ссылки «Скачать патч», которые перенаправляют жертв на поддельный маркетплейс WooCommerce. Ничего не подозревающие пользователи скачивают ZIP-архив с названием "authbypass-update-31297-id.zip".
Вредоносное ПО, содержащееся в архиве, обладает широким функционалом. Оно создает скрытые учетные записи администраторов, устанавливает бэкдор для связи с командными серверами и отправляет HTTP POST-запросы на "woocommerce-support[.]com/wpapi" с именем пользователя, паролем и URL-адресом взломанного сайта. Малварь также загружает дополнительную обфусцированную полезную нагрузку с доменов "woocommerce-help[.]com/activate" или "woocommerce-api[.]com/activate".
Особую опасность представляет развертывание нескольких веб-шеллов, включая P.A.S.-Fork, p0wny и WSO, которые обеспечивают злоумышленникам постоянный доступ к скомпрометированным системам. При этом вредоносный плагин и созданные администраторские аккаунты тщательно скрываются от обнаружения.
Последствия успешной атаки могут быть катастрофическими для владельцев сайтов. Злоумышленники получают возможность удаленного управления скомпрометированными веб-ресурсами, внедрения спама или сомнительной рекламы, перенаправления посетителей сайта на мошеннические ресурсы. Кроме того, взломанные серверы могут быть использованы в ботнетах для DDoS-атак или даже для шифрования серверных ресурсов с целью вымогательства.
Для защиты от подобных атак специалисты рекомендуют владельцам сайтов на WooCommerce провести сканирование на наличие подозрительных плагинов или неизвестных учетных записей администраторов. Также критически важно поддерживать все программное обеспечение в актуальном состоянии и устанавливать обновления только из официальных источников, тщательно проверяя подлинность доменов и сертификатов безопасности.
Данная фишинговая кампания демонстрирует растущую изощренность киберпреступников, которые все чаще используют сложные техники социальной инженерии и технические уловки для компрометации популярных платформ электронной коммерции. В условиях постоянно эволюционирующих угроз бдительность и применение многоуровневых мер безопасности становятся необходимыми элементами защиты цифровых активов.
