Una vasta campagna di phishing sta prendendo di mira gli utenti di WooCommerce, diffondendo un falso avviso di sicurezza che invita a scaricare una "patch critica". In realtà, questo download distribuisce un malware che installa una backdoor nei sistemi compromessi. La società di sicurezza WordPress, Patchstack, ha descritto questa campagna come sofisticata, sottolineando le somiglianze con un attacco simile avvenuto nel dicembre 2023, che sfruttava un falso CVE per compromettere i siti che utilizzano il CMS popolare.

Caratteristiche della campagna attuale

La campagna attuale è caratterizzata da e-mail di phishing che affermano di risolvere una vulnerabilità inesistente chiamata "Unauthenticated Administrative Access". Gli utenti sono indotti a visitare un sito di phishing che imita il sito ufficiale di WooCommerce attraverso un attacco di omografia IDN. Questo sito fittizio invita i destinatari a scaricare un aggiornamento che, in realtà, è un archivio ZIP contenente il malware.

Azioni del malware

Una volta installato, il malware compie diverse azioni dannose: crea un nuovo utente con privilegi amministrativi e una password casuale, invia una richiesta HTTP a un server esterno per trasmettere le credenziali di accesso e l'URL del sito infetto, scarica un payload offuscato da un altro server, estrae diversi web shell come P.A.S.-Fork, p0wny e WSO, e nasconde il plugin malevolo dalla lista dei plugin installati, oltre a occultare l'account amministrativo creato.

Conseguenze e raccomandazioni

Il risultato finale è che gli aggressori ottengono il controllo remoto dei siti compromessi, permettendo loro di iniettare spam, reindirizzare i visitatori verso siti fraudolenti, arruolare il server in una botnet per attacchi DDoS, e persino crittografare le risorse del server come parte di uno schema di estorsione.

Gli utenti sono invitati a controllare i loro siti per eventuali plugin sospetti o account amministrativi non autorizzati e a mantenere aggiornato il software per prevenire simili minacce.