Una vasta campagna di phishing sta prendendo di mira gli utenti di WooCommerce, diffondendo un falso avviso di sicurezza che invita a scaricare una "patch critica". In realtà, questo download distribuisce un malware che installa una backdoor nei sistemi compromessi.
Caratteristiche della campagna attuale
La campagna attuale è caratterizzata da e-mail di phishing che affermano di risolvere una vulnerabilità inesistente chiamata "Unauthenticated Administrative Access". Gli utenti sono indotti a visitare un sito di phishing che imita il sito ufficiale di WooCommerce attraverso un attacco di omografia IDN. Questo sito fittizio invita i destinatari a scaricare un aggiornamento che, in realtà, è un archivio ZIP contenente il malware.
Azioni del malware
Una volta installato, il malware compie diverse azioni dannose: crea un nuovo utente con privilegi amministrativi e una password casuale, invia una richiesta HTTP a un server esterno per trasmettere le credenziali di accesso e l'URL del sito infetto, scarica un payload offuscato da un altro server, estrae diversi web shell come P.A.S.-Fork, p0wny e WSO, e nasconde il plugin malevolo dalla lista dei plugin installati, oltre a occultare l'account amministrativo creato.
Conseguenze e raccomandazioni
Il risultato finale è che gli aggressori ottengono il controllo remoto dei siti compromessi, permettendo loro di iniettare spam, reindirizzare i visitatori verso siti fraudolenti, arruolare il server in una botnet per attacchi DDoS, e persino crittografare le risorse del server come parte di uno schema di estorsione.
Gli utenti sono invitati a controllare i loro siti per eventuali plugin sospetti o account amministrativi non autorizzati e a mantenere aggiornato il software per prevenire simili minacce.