Büyük ölçekli bir kimlik avı kampanyası, WooCommerce kullanıcılarını, siteye bir WordPress arka kapısı ekleyen bir “kritik yama” indirmeye çağıran sahte bir güvenlik uyarısını hedefliyor.
Yemi alan ve güncellemeyi indiren alıcılar aslında web sitelerinde gizli bir yönetici hesabı oluşturan, web kabuğu yüklerini indiren ve kalıcı erişimi sürdüren kötü amaçlı bir eklenti yüklüyor.
PatchTack araştırmacıları tarafından keşfedilen kampanya, 2023’ün sonlarında, WordPress kullanıcılarını makyaj güvenlik açığı için sahte bir yama ile hedefleyen benzer bir operasyonun devamı gibi görünüyor.
Patchstack, her iki kampanyanın da alışılmadık bir web mermisi, özdeş yük gizleme yöntemleri ve benzer e -posta içeriği kullandığını söylüyor.
Sahte Güvenlik Uyarısı
WordPress Adims’i hedefleyen e-postalar, popüler Woocommerce E-Ticaret eklentisini, ‘Yardım@Security-Woocommerce adresini kullanarak sahte[.]com. ‘
Alıcılar, web sitelerinin ‘kimlik doğrulanmamış idari erişim’ kırılganlığından yararlanmaya çalışan bilgisayar korsanları tarafından hedeflendiği konusunda bilgilendirilir.
Çevrimiçi mağazalarını ve verilerini korumak için alıcılara, mesaja dahil edileceği konusunda adım adım talimatlarla yerleşik düğmeyi kullanarak bir yama indirmeleri tavsiye edilir.
Kimlik avı e -postalarını, “14 Nisan 2025’te WooCommerce Platformunda bulunan kritik bir güvenlik açığı konusunda sizinle iletişime geçiyoruz.”
“Uyarı: 21 Nisan 2025’te gerçekleştirilen en son güvenlik taramamız, bu kritik güvenlik açığının web sitenizi doğrudan etkilediğini doğruladı.”
“Mağazanızı güvence altına almak ve verilerinizi korumak için acil önlemler almanızı şiddetle tavsiye ediyoruz.”
.jpg)
Kaynak: Patchtack
‘İndir yama’ düğmesine tıklamak, kurbanları çok aldatıcı bir ‘woocommėrce kullanarak Woocommerce’i sahte bir web sitesine götürür[.]com ‘Alan adı Bu, yetkilisinden farklı olan sadece bir karakter, woocommerce.com.
Kötü niyetli alan, “E” yerine Litvanya karakterinin “ė” (U+0117) kullanıldığı bir homograf saldırısı tekniği kullanır ve kaçırmayı kolaylaştırır.
.jpg)
Kaynak: Patchtack
Enfeksiyon sonrası aktivite
Kurban sahte güvenlik düzeltmesini (“Authbypass-update-31297-id.zip”) kurduktan sonra, her dakika çalıştıran rastgele adlandırılan bir Cronjob oluşturur ve yeni bir yönetici seviyesi kullanıcı oluşturmaya çalışır.
Ardından, eklenti, bir HTTP GET isteği yoluyla enfekte olmayı kaydeder ‘Woocommerce-Services[.]com/wpapi, ‘ve ikinci aşamalı şaşkın bir yük getirir.
Bu da Pas-Form, P0WNY ve WSO dahil ‘WP-Content/Uploads/’ altına birden fazla PHP tabanlı web mermisi yükler.
PatchTack, bu web mermilerinin sitenin tam kontrolüne izin verdiğini ve reklam enjeksiyonu için kullanılabileceğini, kullanıcıları kötü amaçlı hedeflere yönlendirebileceğini, sunucuyu DDOS botnetlerine kaydolması, ödeme kartı bilgilerini çalmak veya siteyi şifrelemek ve sahibini zorlamak için fidye yazılımı yürütmek.
Tespitten kaçınmak için, eklenti kendini görünür eklenti listesinden çıkarır ve oluşturduğu kötü amaçlı yönetici hesabını gizler.
Patchstack, web sitesi sahiplerine 8 karakterli rastgele isimler, alışılmadık cronjobs, ‘authbypass-update’ adlı bir klasör ve WooCommerce-Services’e giden talepleri incelemelerini tavsiye eder.[.]com, woocommerce-api[.]com veya woocommerce-help[.]com.
Bununla birlikte, güvenlik firması, tehdit aktörlerinin tüm bu göstergeleri kamu araştırmaları yoluyla maruz bıraktıktan sonra değiştirdiğini not eder, bu nedenle dar kapsam taramalarına güvenmediğinizden emin olun.