Un falso sitio web se hace pasar por el sitio web oficial de WooCommerce
Los investigadores de ciberseguridad advierten sobre una campaña de phishing a gran escala dirigida a los usuarios de WooCommerce con una falsa alerta de seguridad que los insta a descargar un "parche crítico" pero en su lugar implementan una puerta trasera.
La empresa de seguridad de WordPress Patchstack describió la actividad como sofisticada y una variante de otra campaña observada en diciembre de 2023 que empleó una táctica CVE falsa para vulnerar sitios que ejecutan el popular sistema de gestión de contenido (CMS).
Dadas las similitudes entre los correos electrónicos de phishing, las páginas web falsas y los métodos idénticos empleados para ocultar el malware, se cree que la última ola de ataques es obra del mismo actor de amenazas o es un nuevo grupo que imita de cerca al anterior.
"Afirman que los sitios web atacados están afectados por una vulnerabilidad de 'Acceso Administrativo No Autenticado' (inexistente) y recomiendan visitar su sitio web de phishing, que utiliza un ataque homógrafo de IDN para hacerse pasar por el sitio web oficial de WooCommerce", afirmó el investigador de seguridad Chazz Wolcott.
Se insta a los destinatarios del correo electrónico de phishing a hacer clic en el enlace "Descargar parche" para descargar e instalar la supuesta solución de seguridad. Sin embargo, al hacerlo se les redirige a una página falsa de WooCommerce Marketplace alojada en el dominio "woocommėrce[.]com" (ten en cuenta el uso de "ė" en lugar de "e") desde donde se puede descargar un archivo ZIP ("authbypass-update-31297-id.zip").
Luego se les solicita a las víctimas que instalen el parche como lo harían con cualquier plugin normal de WordPress, lo que desencadena efectivamente la siguiente serie de acciones maliciosas:
• Crea un nuevo usuario de nivel de administrador con un nombre de usuario ofuscado y una contraseña aleatoria después de configurar un trabajo cron con un nombre aleatorio que se ejecuta cada minuto
• Envía una solicitud HTTP GET a un servidor externo ("woocommerce-services[.]com/wpapi") con información sobre el nombre de usuario y la contraseña, junto con la URL del sitio web infectado
• Envía una solicitud HTTP GET para descargar una carga útil ofuscada de la siguiente etapa desde un segundo servidor ("woocommerce-help[.]com/activate" o "woocommerce-api[.]com/activate")
• Decodifica la carga útil para extraer múltiples shells web como P.A.S.-Fork, p0wny y WSO
• Oculta el plugin malicioso de la lista de plugins y oculta la cuenta de administrador creada
Un resultado neto de la campaña es que permite a los atacantes tener control remoto sobre los sitios web, lo que les permite inyectar spam o anuncios sospechosos, redirigir a los visitantes del sitio a sitios fraudulentos, alistar el servidor vulnerado en una red de bots para llevar a cabo ataques DDoS e incluso cifrar los recursos del servidor como parte de un plan de extorsión.
Se recomienda a los usuarios escanear sus instancias para detectar plugins o cuentas de administrador sospechosos y asegurarse de que el software esté actualizado.
