Μια ευρείας κλίμακας phishing καμπάνια έχει βάλει στο στόχαστρο χρήστες του WooCommerce, αποστέλλοντας ψεύτικες ειδοποιήσεις ασφαλείας που τους προτρέπουν να κατεβάσουν μια «κρίσιμη ενημέρωση», η οποία τελικά εγκαθιστά ένα WordPress backdoor στον ιστότοπό τους.
Όσοι χρήστες παρασύρονται και κατεβάζουν το υποτιθέμενο patch, καταλήγουν να εγκαθιστούν ένα κακόβουλο plugin. Αυτό δημιουργεί έναν κρυφό λογαριασμό διαχειριστή, εγκαθιστά web shells και εξασφαλίζει διαρκή πρόσβαση στους εισβολείς.
Η εκστρατεία αυτή, που εντοπίστηκε από τους ερευνητές της Patchstack, φαίνεται να αποτελεί συνέχεια μιας παρόμοιας επίθεσης που σημειώθηκε στα τέλη του 2023 και στόχευε χρήστες του WordPress μέσω ενός ψεύτικου patch για μια ανύπαρκτη ευπάθεια.
Δείτε επίσης: Scallywag: Νέα ad-fraud καμπάνια χρησιμοποιεί WordPress plugins
Σύμφωνα με την Patchstack, και στις δύο περιπτώσεις χρησιμοποιήθηκαν τα ίδια περίεργα web shells, όμοιες τεχνικές απόκρυψης του κακόβουλου payload και παρόμοιο περιεχόμενο στα phishing emails.
WooCommerce: Ψεύτικη ειδοποίηση ασφαλείας
Τα phishing emails που αποστέλλονται σε διαχειριστές WordPress επιχειρούν να μιμηθούν την επίσημη επικοινωνία της WooCommerce, εμφανίζοντας ως αποστολέα τη διεύθυνση ‘help@security-woocommerce[.]com‘.
Στα μηνύματα αναφέρεται ότι οι ιστοσελίδες των παραληπτών έχουν στοχοποιηθεί από χάκερς, οι οποίοι επιχειρούν να εκμεταλλευτούν μια ευπάθεια που επιτρέπει «μη εξουσιοδοτημένη πρόσβαση διαχειριστή». Για να προστατέψουν τα καταστήματα και τα δεδομένα τους, οι διαχειριστές καλούνται να κατεβάσουν μια ενημέρωση μέσω ενός κουμπιού που υπάρχει στο email, με οδηγίες εγκατάστασης να παρέχονται στο ίδιο το μήνυμα.
Τα phishing emails αναφέρουν: «Σας ενημερώνουμε για μια κρίσιμη ευπάθεια ασφαλείας που εντοπίστηκε στην πλατφόρμα WooCommerce στις 14 Απριλίου 2025… Σύμφωνα με τον τελευταίο μας έλεγχο ασφαλείας στις 21 Απριλίου 2025, η ευπάθεια αυτή επηρεάζει άμεσα τον ιστότοπό σας».
Τέλος, τα μηνύματα πιέζουν τους παραλήπτες να ενεργήσουν άμεσα: «Σας συνιστούμε να λάβετε άμεσα μέτρα για την προστασία του καταστήματός σας και των δεδομένων σας».
Δείτε επίσης: Ευπάθεια WordPress Plugin με 100.000+ εγκαταστάσεις αξιοποιείται ενεργά
Όταν τα θύματα πατήσουν το κουμπί “Λήψη ενημέρωσης“, ανακατευθύνονται σε έναν ιστότοπο που μιμείται το WooCommerce, χρησιμοποιώντας το παραπλανητικό domain “woocommėrce[.]com”, το οποίο διαφέρει από το κανονικό woocommerce.com μόνο κατά έναν χαρακτήρα. Ο κακόβουλος αυτός ιστότοπος εφαρμόζει μια τεχνική γνωστή ως homograph attack, αντικαθιστώντας το γράμμα “e” με το λιθουανικό “ė”, μια αλλαγή τόσο μικρή που μπορεί εύκολα να περάσει απαρατήρητη.
Τι γίνεται μετά τη μόλυνση;
Αφού το θύμα εγκαταστήσει την ψεύτικη ενημέρωση (“authbypass-update-31297-id.zip”), δημιουργείται ένα cronjob με τυχαία ονομασία, το οποίο εκτελείται κάθε λεπτό και προσπαθεί να δημιουργήσει έναν νέο διαχειριστικό λογαριασμό.
Στη συνέχεια, το κακόβουλο plugin στέλνει ένα αίτημα HTTP GET προς τον ιστότοπο ‘woocommerce-services[.]com/wpapi’, μέσω του οποίου κατεβάζει ένα δεύτερο payload. Αυτό το payload εγκαθιστά αρκετά PHP-based web shells μέσα στον φάκελο «wp-content/uploads/» (π.χ. τα P.A.S.-Form, p0wny και WSO).
Σύμφωνα με την Patchstack, τα web shells που εγκαθίστανται μέσω της επίθεσης προσφέρουν στους χάκερ πλήρη έλεγχο του ιστοτόπου. Μπορούν να αξιοποιηθούν για την εισαγωγή διαφημίσεων, την ανακατεύθυνση επισκεπτών σε κακόβουλες σελίδες, την ένταξη του διακομιστή σε δίκτυα DDoS botnet, την κλοπή δεδομένων πληρωμών ή ακόμη και την εκτέλεση ransomware.
Για να μειωθούν οι πιθανότητες εντοπισμού, το κακόβουλο plugin αυτοκαταργείται από τη λίστα των ενεργών plugins και ταυτόχρονα κρύβει τον διαχειριστικό λογαριασμό που δημιούργησε.
Δείτε επίσης: Hackers εκμεταλλεύονται ευπάθεια στο OttoKit WordPress plugin
Η Patchstack προτρέπει τους διαχειριστές ιστοτόπων να αναζητούν σημάδια παραβίασης, όπως λογαριασμούς διαχειριστή με τυχαία ονόματα οκτώ χαρακτήρων, ασυνήθιστα cronjobs, την ύπαρξη φακέλου με το όνομα ‘authbypass-update’ και εξερχόμενη δραστηριότητα προς τα woocommerce-services[.]com, woocommerce-api[.]com και woocommerce-help[.]com.
Ωστόσο, η εταιρεία τονίζει ότι οι κυβερνοεγκληματίες τείνουν να αλλάζουν αυτά τα χαρακτηριστικά μόλις αποκαλυφθούν από δημόσιες έρευνες, συνεπώς οι έλεγχοι δεν θα πρέπει να περιορίζονται σε συγκεκριμένα γνωστά μοτίβα.
Ασφάλεια WordPress
Η ασφάλεια των ιστότοπων WordPress απαιτεί μια πολύπλευρη προσέγγιση για την προστασία από πιθανές απειλές. Μία από τις βασικές στρατηγικές περιλαμβάνει την τακτική ενημέρωση plugins και θεμάτων για να διασφαλιστεί ότι τυχόν ευπάθειες ασφαλείας έχουν διορθωθεί. Η χρήση ισχυρών κωδικών πρόσβασης και η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Επιπλέον, η τακτική δημιουργία αντιγράφων ασφαλείας του ιστότοπού σας μπορεί να προστατεύσει τα δεδομένα σε περίπτωση επίθεσης.
Δείτε επίσης: Η καμπάνια «DollyWay» malware παραβίασε 20.000 site WordPress
Συνιστάται επίσης να εγκαταστήσετε ένα ισχυρό security plugin που προσφέρει λειτουργίες όπως προστασία firewall, σάρωση κακόβουλου λογισμικού και πρόληψη επιθέσεων brute force.
Πηγή: www.bleepingcomputer.com
