大規模なフィッシングキャンペーンが、偽のセキュリティ警告でWooCommerceユーザーを標的にし、サイトにWordpressのバックドアを追加する「重要なパッチ」をダウンロードするよう促している。
騙されてアップデートをダウンロードした受信者は、実際には悪意のあるプラグインをインストールすることになり、ウェブサイト上に隠された管理者アカウントを作成し、ウェブシェルペイロードをダウンロードし、永続的なアクセスを維持する。
Patchstackの研究者によって発見されたこのキャンペーンは、2023年後半に行われた、でっち上げの脆弱性に対する偽のパッチでWordPressユーザーを標的にした同様の作戦の続編のようだ。
Patchstackによると、どちらのキャンペーンも、通常とは異なる一連のウェブシェル、同一のペイロード隠蔽手法、および類似のメールコンテンツを使用していたという。
偽のセキュリティ警告
WordPressの管理者をターゲットにしたメールでは、「help@security-woocommerce[.]com」というアドレスを使用し、人気のあるWooCommerce eコマースプラグインになりすましている。
受信者は、自分たちのウェブサイトが「認証されていない管理者アクセス」の脆弱性を悪用しようとするハッカーに狙われていることを知らされます。
オンライン・ストアとデータを保護するため、受信者は埋め込まれたボタンを使ってパッチをダウンロードするよう勧められ、メッセージにはインストール方法のステップバイステップの説明が含まれている。
「2025年4月14日にWooCommerceプラットフォームで発見された重大なセキュリティ脆弱性についてご連絡いたします。
「警告:2025年4月21日に実施された最新のセキュリティスキャンにより、この重大な脆弱性があなたのウェブサイトに直接影響を及ぼすことが確認されました。
“私たちは、あなたのストアを保護し、あなたのデータを保護するために緊急の対策を講じることを強くお勧めします。”と、緊急性を高めるためにメールは続いている。
.jpg)
Source:パッチスタック
パッチをダウンロードする」ボタンをクリックすると、被害者はWooCommerceを偽装したウェブサイトへと誘導される。このウェブサイトでは、公式のドメインであるwoocommerce.comとは1文字しか違わない、非常に欺瞞的な「woocommėrce[.]com」ドメインが使用されている。
この悪意のあるドメインは、リトアニア語の文字「ė」(U+0117)を「e」の代わりに使用する同形異義語攻撃テクニックを採用しており、簡単に見逃してしまうことができます。
.jpg)
ソースはこちら:パッチスタック
感染後の活動
被害者が偽のセキュリティ修正プログラム(”authbypass-update-31297-id.zip”)をインストールすると、ランダムな名前のcronjobが作成され、1分ごとに実行され、新しい管理者レベルのユーザーを作成しようとします。
次に、プラグインは「woocommerce-services[.]com/wpapi」へのHTTP GETリクエストによって感染したサイトを登録し、第2段階の難読化されたペイロードをフェッチする。
これにより、「wp-content/uploads/」の下に、P.A.S.-Form、p0wny、WSOを含む複数のPHPベースのウェブシェルがインストールされる。
Patchstackは、これらのWebシェルはサイトの完全な制御を可能にし、広告インジェクション、悪意のある目的地へのユーザーのリダイレクト、DDoSボットネットへのサーバーの参加、支払いカード情報の窃盗、サイトを暗号化し所有者を恐喝するランサムウェアの実行などに使用される可能性があるとコメントしている。
このプラグインは、検出を回避するために、可視のプラグインリストから自身を削除し、作成された悪意のある管理者アカウントも隠します。
Patchstackは、8文字のランダムな名前、異常なcronjobs、’authbypass-update’という名前のフォルダ、woocommerce-services[.]com、woocommerce-api[.]com、woocommerce-help[.]comへの発信リクエストがないか、管理者アカウントを精査するようウェブサイトの所有者に助言している。
しかし、セキュリティ会社は、脅威行為者は、一般的な調査によってこれらのインジケータが公開されると、通常、すべてのインジケータを変更するため、狭い範囲のスキャンに依存しないように注意してください。
Comments