Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli specialisti di Patchstack hanno scoperto una campagna di phishing su larga scala che prendeva di mira gli utenti della piattaforma WooCommerce. Gli aggressori stanno inviando falsi avvisi di sicurezza per sollecitare i proprietari dei siti a installare un “aggiornamento critico” che in realtà introduce una backdoor nel sistema WordPress.
Lo schema di attacco si basa sull’ingegneria sociale: gli amministratori ingenui, scaricando e installando una patch presumibilmente importante, in realtà distribuiscono un plugin dannoso. Il programma crea un account nascosto con diritti di amministratore, carica web shell e fornisce accesso permanente al sito infetto.
Secondo i ricercatori, la campagna attuale è la continuazione di un’operazione simile prevista per la fine del 2023. Poi, i truffatori hanno preso di mira anche gli utenti di WordPress inviando false patch per una vulnerabilità inesistente. Gli analisti notano modelli simili: un insolito set di web shell, metodi identici per mascherare il payload dannoso e testi e-mail simili.
Le email provengono dall’indirizzo help@security-woocommerce[.]com e il loro contenuto riporta : il sito del destinatario è stato oggetto di attacchi hacker con tentativi di sfruttare la vulnerabilità di “accesso amministrativo non autorizzato”.
Per proteggere il negozio online e i dati, gli aggressori propongono di scaricare l’aggiornamento tramite un pulsante integrato. Le istruzioni dettagliate per l’installazione sono allegate alla lettera. E per sicurezza, aggiunge: “Attenzione: la nostra ultima scansione di sicurezza del 21 aprile 2025 ha confermato che questa vulnerabilità critica ha un impatto diretto sul tuo sito.”
Quando si clicca sul pulsante “Scarica patch”, la vittima viene indirizzata a una pagina WooCommerce falsa. I truffatori utilizzano un dominio particolarmente insidioso, woocommėrce[.]com, che differisce da quello ufficiale solo per un simbolo: al posto della “e” latina, viene utilizzata la lettera lituana “ė” (U+0117). Naturalmente la differenza è estremamente difficile da notare a occhio nudo.
Dopo aver installato la patch (file “authbypass-update-31297-id.zip”), nello scheduler viene creata un’attività con un nome arbitrario. Viene eseguito ogni minuto, tentando di creare un nuovo utente con diritti di amministratore. Il plugin registra quindi il sito infetto tramite una richiesta HTTP GET al dominio woocommerce-services[.]com/wpapi e riceve la seconda fase del payload malware mascherato.
Successivamente, vengono installati diversi wrapper PHP nella directory wp-content/uploads/, tra cui PAS-Form, p0wny e WSO. Secondo gli esperti, questi strumenti garantiscono il controllo completo sulla risorsa. Con il loro aiuto, gli aggressori possono inserire pubblicità, reindirizzare gli utenti a pagine dannose, utilizzare il server in botnet DDoS, rubare dati di carte di pagamento o crittografare il contenuto di siti web a fini di estorsione.
Per camuffarsi, il plugin dannoso si rimuove dall’elenco delle estensioni installate e nasconde l’account amministratore che ha creato. Il team di Patchstack consiglia ai proprietari delle risorse di verificare la presenza di segnali sospetti: account di amministrazione con nomi casuali di 8 caratteri, attività insolite nello scheduler, la cartella authbypass-update e richieste in uscita ai domini woocommerce-services[.]com, woocommerce-api[.]com o woocommerce-help[.]com.
Il rapporto sottolinea inoltre che, una volta che gli indicatori di compromissione diventano pubblici, i criminali informatici solitamente li modificano. Pertanto, non dovresti limitarti a controllare solo questi segnali specifici.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Innovazione
Cybercrime
Vulnerabilità
Innovazione