Peneliti cybersecurity memperingatkan tentang kampanye phishing berskala besar yang menargetkan pengguna WooCommerce dengan peringatan keamanan palsu yang mendesak mereka untuk mengunduh “tambalan kritis” tetapi menggunakan backdoor sebagai gantinya.
Perusahaan Keamanan WordPress Patchstack menggambarkan kegiatan tersebut sebagai canggih dan varian kampanye lain yang diamati pada bulan Desember 2023 yang menggunakan taktik CVE palsu untuk melanggar situs yang menjalankan sistem manajemen konten populer (CMS).
Mengingat kesamaan dalam umpan email phishing, halaman web palsu, dan metode identik yang digunakan untuk menyembunyikan malware, diyakini gelombang serangan terbaru adalah pekerjaan dari aktor ancaman yang sama atau itu adalah gugus baru yang meniru yang sebelumnya.
“Mereka mengklaim situs web yang ditargetkan dipengaruhi oleh kerentanan (tidak ada) kerentanan administratif 'yang tidak authenticated', dan mereka mendesak Anda untuk mengunjungi situs web phishing mereka, yang menggunakan serangan homograf IDN untuk menyamarkan dirinya sebagai situs web resmi WooCommerce,” kata peneliti keamanan Chazz Wolcott.
Penerima email phishing didesak untuk mengklik tautan “unduhan patch” untuk mengunduh dan menginstal perbaikan keamanan yang seharusnya. Namun, melakukan hal itu mengarahkan mereka ke halaman pasar WooCommerce yang dipalsukan yang di -host di domain “WooCommėrce[.]com “(Perhatikan penggunaan” ė “sebagai pengganti” e “) dari mana arsip zip (” authbypass-update-31297-id.zip “) dapat diunduh.
Korban kemudian diminta untuk menginstal tambalan karena mereka akan menginstal plugin WordPress biasa, secara efektif melepaskan serangkaian tindakan jahat berikut –
- Buat pengguna tingkat administrator baru dengan nama pengguna yang dikaburkan dan kata sandi acak setelah menyiapkan pekerjaan cron bernama acak yang berjalan setiap menit
- Kirim Permintaan Dapatkan HTTP ke server eksternal (“Layanan WooCommerce[.]com/wpapi “) dengan informasi tentang nama pengguna dan kata sandi, bersama dengan URL situs web yang terinfeksi
- Kirim permintaan HTTP Get untuk mengunduh muatan yang dikaburkan tahap berikutnya dari server kedua (“WooCommerce-Help[.]com/Activate “atau” WooCommerce-API[.]com/activate “)
- Dekode muatan untuk mengekstrak beberapa shell web seperti pas-fork, p0wny, dan wso
- Sembunyikan plugin berbahaya dari daftar plugin dan sembunyikan akun administrator yang dibuat
Hasil bersih dari kampanye ini adalah memungkinkan penyerang remote control atas situs web, memungkinkan mereka untuk menyuntikkan spam atau iklan yang samar, mengarahkan pengunjung situs ke situs penipuan, meminta server yang dilanggar ke botnet untuk melakukan serangan DDOS, dan bahkan mengenkripsi sumber daya server sebagai bagian dari skema pemerasan.
Pengguna disarankan untuk memindai instance mereka untuk plugin yang mencurigakan atau akun administrator, dan memastikan bahwa perangkat lunak ini terkini.
