Siber güvenlik araştırmacıları, WooCommerce kullanıcılarını “kritik bir yama” indirmeye çağıran ancak bunun yerine bir arka kapı dağıtmaya çağıran sahte bir güvenlik uyarısı olan büyük ölçekli bir kimlik avı kampanyası hakkında uyarıyorlar.
WordPress Güvenlik Şirketi PatchTack, etkinliği sofistike olarak nitelendirdi ve Aralık 2023’te popüler içerik yönetim sistemini (CMS) çalışan siteleri ihlal etmek için sahte bir CVE ploy kullanan başka bir kampanyanın varyantı olarak nitelendirdi.
Kimlik avı e -posta cazibesi, sahte web sayfaları ve kötü amaçlı yazılımları gizlemek için kullanılan özdeş yöntemler göz önüne alındığında, en son saldırı dalgasının ya aynı tehdit oyuncunun çalışması olduğuna ya da öncekini taklit eden yeni bir küme olduğuna inanılıyor.
Güvenlik Araştırmacısı Chazz Wolcott, “Hedeflenen web sitelerinin (var olmayan) ‘kimlik doğrulanmamış idari erişim’ kırılganlığından etkilendiğini iddia ediyorlar ve resmi Woocommerce web sitesi olarak kendini gizlemek için bir IDN homograf saldırısı kullanan kimlik avı web sitesini ziyaret etmenizi istiyorlar.” Dedi.
Kimlik avı e -postasının alıcılarına, sözde güvenlik düzeltmesini indirmek ve yüklemek için bir “İndirme Yaması” bağlantısını tıklamaları istenir. Ancak bunu yapmak, onları “WooCommėrce alanında barındırılan sahte bir WooCommerce Piyasası sayfasına yönlendirir[.]com “(” ė “yerine” ė “kullanımına dikkat edin) bir zip arşivinden (” Authbypass-update-31297-id.zip “) indirilebilir.
Daha sonra kurbanlardan, herhangi bir düzenli WordPress eklentisini yükleyecekleri ve aşağıdaki kötü niyetli eylemleri etkin bir şekilde açığa çıkaracakları için yamayı yüklemeleri istenir –
- Her dakika çalıştıran rastgele adlandırılmış bir CRON işi ayarladıktan sonra, gizlenmiş bir kullanıcı adı ve randomize bir şifre ile yeni bir yönetici düzeyinde kullanıcı oluşturun
- Harici bir sunucuya bir HTTP GET isteği gönderin (“WooCommerce-Services[.]com/wpapi “) enfekte web sitesinin URL’si ile birlikte kullanıcı adı ve şifre hakkında bilgi içeren
- İkinci bir sunucudan (“WooCommerce-Help[.]com/etkinleştir “veya” woocommerce-api[.]com/etkinleştir “)
- Pas-Fork, P0WNY ve WSO gibi birden fazla web kabuğunu çıkarmak için yükü çözün
- Kötü niyetli eklentiyi eklenti listesinden gizleyin ve oluşturulan yönetici hesabını gizleyin
Kampanyanın net bir sonucu, saldırganların web siteleri üzerinde uzaktan kumandalı kontrolüne izin vermesi, spam veya kabataslak reklamlar enjekte etmelerine, site ziyaretçilerini hileli sitelere yönlendirmelerine, ihlal edilen sunucuyu DDoS saldırıları yapmak için bir botnet’e sunmalarına ve hatta sunucu kaynaklarını bir forma şemasının bir parçası olarak şifrelemesine izin vermesidir.
Kullanıcıların örneklerini şüpheli eklentiler veya yönetici hesapları için taramaları ve yazılımın güncel olmasını sağlamaları tavsiye edilir.