Los investigadores de ciberseguridad están advirtiendo sobre una campaña de phishing a gran escalera dirigida a los usuarios de WooCommerce con una alerta de seguridad falsa que les insta a descargar un «parche crítico», pero implementa una puerta trasera.
La compañía de seguridad de WordPress Patchstack describió la actividad como sofisticada y una reforma de otra campaña observada en diciembre de 2023 que empleó una estratagema de CVE falsa para violar los sitios que ejecutan el popular sistema de mandato de contenido (CMS).
Dadas las similitudes en los señuelos del correo electrónico de phishing, las páginas web falsas y los métodos idénticos empleados para ocultar el malware, se cree que la última ola de ataque es el trabajo del mismo actor de amenaza o es un nuevo clúster que imita de cerca al mencionado.
«Afirman que los sitios web específicos se ven afectados por una vulnerabilidad (inexistente) de ataque burócrata» no intolerante), y le instan a pasarse su sitio web de Phishing, que utiliza un ataque de homógrafo IDN para disfrazarse de sí mismo como el sitio web oficial de WooCommerce «, dijo el investigador de seguridad Chazz Wolcott.
Se insta a los destinatarios del correo electrónico de phishing a hacer clic en un enlace de «Parche de descarga» para descargar e instalar la supuesta posibilidad de seguridad. Sin incautación, hacerlo los redirige a una página de mercado de WooCommerce falsificada alojada en el dominio «WooCommėrce (.) Com» (tenga en cuenta el uso de «ė» en ocupación de «E») desde donde se puede descargar un archivo zip («AuthBypass-Update-31297-ID.Zip»).
Luego se les solicita a las víctimas que instalen el parche, ya que instalarían cualquier complemento de WordPress regular, desatando efectivamente la venidero serie de acciones maliciosas –
- Cree un nuevo afortunado de nivel de administrador con un nombre de afortunado ofuscado y una contraseña aleatoria a posteriori de configurar un trabajo cron llamado aleatoriamente que se ejecuta cada minuto
- Envíe una solicitud HTTP Obtener a un servidor forastero («WooCommerce-Services (.) COM/WPAPI») con información sobre el nombre de afortunado y la contraseña, anejo con la URL del sitio web infectado
- Envíe una solicitud HTTP para descargar una carga útil ofuscada de la próxima etapa de un segundo servidor («WooCommerce-Help (.) Com/activar» o «WooCommerce-API (.) Com/activado»)
- Decodifique la carga útil para extraer múltiples conchas web como PAS-Fork, P0WNY y WSO
- Ocultar el complemento solapado de la letanía de complementos y ocultar la cuenta de administrador creado
Un resultado neto de la campaña es que permite a los atacantes el control remoto sobre los sitios web, lo que les permite inyectar spam o anuncios incompletos, redirigir a los visitantes del sitio a sitios fraudulentos, matricular el servidor incumplido en una botnet para aceptar a mango ataques DDoS e incluso encriptar los posibles del servidor como parte de un esquema de trastorno.
Se recomienda a los usuarios que escanean sus instancias para complementos sospechosos o cuentas de administrador, y se aseguren de que el software esté actualizado.
