WooCommerce kullanıcılarını hedefleyen büyük ölçekli kimlik avı kampanyası ile ilgili bir PatchTack Securpity ekibi tarafından ortaya çıkarıldı ve web sitesi sahiplerini aldatmak için son derece karmaşık bir e-posta ve web tabanlı kimlik avı şablonu kullandı.
Bu operasyonun arkasındaki saldırganlar, kullanıcıları WooCommerce kurulumlarındaki fabrikasyon bir “kimlik doğrulanmamış idari erişim” kırılganlığı konusunda uyararak onları kötü niyetli bir web sitesinden sözde bir yama indirmeye çağırıyor.
Sofistike kimlik avı kampanyası resmi uyarıları taklit ediyor
WordPress kullanıcılarına daha önce bildirilen “sahte CVE” kimlik avı saldırısına çarpıcı bir şekilde benzer şekilde, bu kampanya, aynı grup tarafından düzenlenebileceğini veya yöntemlerinden büyük ölçüde ilham alabileceğini düşündüren, aynı e-posta biçimlendirme, güvenlik temalı mesajlaşma ve kötü amaçlı yazılım gizleme tekniklerini kullanıyor.
.png
)
Resmi bir WooCommerce Alert olarak maskelenen kimlik avı e-postası, aldatıcı bir adresten kaynaklanır,@Security-Woocommerce[.]com ve kullanıcıları, Woocommėrce alan adıyla bir IDN homograf saldırısı kullanarak hileli bir siteye yönlendirir[.]com, meşru WooCommerce pazarını taklit etmek için standart “E” nin yerini alan ince “ė” ye dikkat edin.
Kötü niyetli yükün teknik dökümü
E-posta’daki “İndirme Yaması” düğmesini tıklamak, kurbanları sahte bir WooCommerce Marketplace sayfasına yönlendirir ve burada Authbypass-update-31297-id.zip adlı kötü amaçlı bir zip dosyası indirmeleri istenir.
Bir eklenti olarak yüklendikten ve etkinleştirildikten sonra, bu dosya gizli çalışır ve hain faaliyetlerini gizlemek için meşru WordPress kancalarından yararlanır.
Etkinleştirme üzerine, eklenti, WP Cron’da “Mergecreator655” gibi randomize bir ada sahip bir cronjob oluşturur ve gizlenmiş bir kullanıcı adı ve rastgele şifre ile gizli bir yönetici hesabı oluşturmak için her dakika çalışır.
Daha sonra, yeni kimlik bilgileri ve site URL’sini içeren Base64 kodlu verileri saldırgan kontrollü bir sunucuya, wooCommerce-hizmetlerine gönderir[.]com/wpapi, bir HTTP GET isteği aracılığıyla.
Ayrıca, eklenti, WooCommerce-Help gibi alanlardan ek gizlenmiş yükler indirir[.]com/etkinleştir ve woocommerce-api[.]com/etkinleştir, Pas-Fork, P0WNY ve WSO gibi birden fazla PHP tabanlı web mermisini WP-Cached- adlı bir dizine yükleme-
Bu kabuklar, uzlaşmış sunucu üzerinde toplam kontrol sahibi, reklam enjekte etme, kullanıcıları kötü amaçlı sitelere yönlendirme, faturalandırma verileri çalma, DDOS saldırıları başlatma veya siteyi şifreleyerek veya veritaban yedekleme hosta tutarak fidye yazılımlarını dağıtma gibi potansiyel istismarları sağlar.
PatchTack raporuna göre, eklenti de WordPress eklentisi listesinden gizlenir ve algılamadan kaçınmak için Rogue Yönetici hesabını gizler.
Önemli olarak, kötü niyetli eklenti indirilmedikçe ve yüklenmedikçe bu kampanya tehdit oluşturmaz.
Ne WordPress ne de WooCommerce manuel yama kurulumları talep etmez; Meşru güncellemeler sürüm güncellemeleri olarak her zaman resmi kanallar aracılığıyla yayınlanır.
Uzlaşma göstergeleri arasında 8 karakterli rastgele kullanıcı adı, olağandışı cronjob adları, wp-content/eklentilerde Authbypass-update gibi şüpheli klasörler veya wooCommerce-Sergiles gibi alan adlarına giden talepler içerir.[.]com.
Bu aldatmaca yayıldıkça, saldırganların adapte olması muhtemeldir, alan adlarını ve diğer belirteçleri güvenlik hizmetleri ve kayıt memurları tarafından işaretlemeye atlamak için değiştirir.
Web sitesi sahiplerine uyanık kalmaları, acil güvenlik düzeltmeleri iddia eden e -postaları incelemeleri ve yalnızca Woocommerce kurulumlarını bu tür aldatıcı ve zarar verici kimlik avı taktiklerinden korumak için güncellemeler için resmi kaynaklara güvenmeleri istenir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!