Los investigadores de ciberseguridad están advirtiendo sobre una campaña de phishing a gran escala dirigida a los usuarios de WooCommerce con una alerta de seguridad falsa que les insta a descargar un “parche crítico”, pero implementa una puerta trasera.
La compañía de seguridad de WordPress Patchstack describió la actividad como sofisticada y una variante de otra campaña observada en diciembre de 2023 que empleó una estratagema de CVE falsa para violar los sitios que ejecutan el popular sistema de gestión de contenido (CMS).
Dadas las similitudes en los señuelos del correo electrónico de phishing, las páginas web falsas y los métodos idénticos empleados para ocultar el malware, se cree que la última ola de ataque es el trabajo del mismo actor de amenaza o es un nuevo clúster que imita de cerca al anterior.
“Afirman que los sitios web específicos se ven afectados por una vulnerabilidad (inexistente) de acceso administrativo” no exigente), y le instan a visitar su sitio web de Phishing, que utiliza un ataque de homógrafo IDN para disfrazarse de sí mismo como el sitio web oficial de WooCommerce “, dijo el investigador de seguridad Chazz Wolcott.
Se insta a los destinatarios del correo electrónico de phishing a hacer clic en un enlace de “Parche de descarga” para descargar e instalar la supuesta solución de seguridad. Sin embargo, hacerlo los redirige a una página de mercado de WooCommerce falsificada alojada en el dominio “WooCommėrce (.) Com” (tenga en cuenta el uso de “ė” en lugar de “E”) desde donde se puede descargar un archivo zip (“AuthBypass-Update-31297-ID.Zip”).
Luego se les solicita a las víctimas que instalen el parche, ya que instalarían cualquier complemento de WordPress regular, desatando efectivamente la siguiente serie de acciones maliciosas –
- Cree un nuevo usuario de nivel de administrador con un nombre de usuario ofuscado y una contraseña aleatoria después de configurar un trabajo cron llamado aleatoriamente que se ejecuta cada minuto
- Envíe una solicitud HTTP Obtener a un servidor externo (“WooCommerce-Services (.) COM/WPAPI”) con información sobre el nombre de usuario y la contraseña, junto con la URL del sitio web infectado
- Envíe una solicitud HTTP para descargar una carga útil ofuscada de la próxima etapa de un segundo servidor (“WooCommerce-Help (.) Com/activar” o “WooCommerce-API (.) Com/activado”)
- Decodifique la carga útil para extraer múltiples conchas web como PAS-Fork, P0WNY y WSO
- Ocultar el complemento malicioso de la lista de complementos y ocultar la cuenta de administrador creado
Un resultado neto de la campaña es que permite a los atacantes el control remoto sobre los sitios web, lo que les permite inyectar spam o anuncios incompletos, redirigir a los visitantes del sitio a sitios fraudulentos, alistar el servidor incumplido en una botnet para llevar a cabo ataques DDoS e incluso encriptar los recursos del servidor como parte de un esquema de extorsión.
Se recomienda a los usuarios que escanean sus instancias para complementos sospechosos o cuentas de administrador, y se aseguren de que el software esté actualizado.
