کاربران wordpress هدف کمپین فیشینگ WooCommerce گستردهای قرار گرفتهاند که با هشدار امنیتی جعلی آنها را به دانلود یک «پچ حیاتی» ترغیب میکند؛ اما این پچ در واقع یک بکدور WordPress به سایت اضافه میکند.
کسانی که فریب میخورند و این بهروزرسانی را دانلود میکنند، در حقیقت یک افزونه مخرب نصب میکنند که یک حساب کاربری مخفی با سطح مدیر در وبسایت ایجاد میکند، پیلودهای شل تحت وب را دانلود میکند و دسترسی پایدار را برقرار میکند.
این کمپین، که توسط محققان Patchstack کشف شده، به نظر ادامه عملیاتی مشابه در اواخر سال ۲۰۲۳ است که کاربران WordPress را با پچ جعلی برای یک آسیبپذیری ساختگی هدف قرار داده بود. Patchstack اعلام کرده که هر دو کمپین از مجموعهای غیرمعمول از شلهای تحت وب، روشهای یکسان مخفیسازی پیلود و محتوای ایمیل مشابه استفاده کردهاند.
جزئیات ایمیل فیشینگ WooCommerce
ایمیلهای هدفگیری کاربران WordPress، از آدرس جعلی help@security-woocommerce[.]com استفاده میکنند و وانمود میکنند که از طرف افزونه تجارت الکترونیک محبوب WooCommerce هستند.
به گیرندگان ایمیل اطلاع داده میشود که وبسایتهایشان توسط هکرها هدف قرار گرفته و تلاشهایی برای سوءاستفاده از آسیبپذیری “دسترسی مدیریتی بدون احراز هویت“ انجام شده است. برای حفاظت از فروشگاههای آنلاین و دادههایشان، به گیرندگان توصیه میشود با استفاده از دکمه تعبیهشده در ایمیل، پچ را دانلود کنند و دستورالعملهای گامبهگام نصب آن در پیام گنجانده شده است.
این ایمیلهای فیشینگ اعلام میکنند که در تاریخ ۱۴ آوریل ۲۰۲۵ یک آسیبپذیری حیاتی در پلتفرم WooCommerce کشف شده است. در ادامه، هشدار میدهند که اسکن امنیتی اخیر در ۲۱ آوریل ۲۰۲۵ تأیید کرده این آسیبپذیری حیاتی مستقیما وبسایت قربانی را تحت تأثیر قرار داده است. ایمیل برای ایجاد حس فوریت ادامه میدهد که اقدامات فوری برای ایمنسازی فروشگاه و حفاظت از دادهها ضروری است.
کلیک روی دکمه «Download Patch» قربانیان را به وبسایتی میبرد که از WooCommerce جعل شده و از دامنه فریبنده woocommėrce[.]com استفاده میکند، که تنها یک حرف با دامنه رسمی woocommerce.com تفاوت دارد. دامنه مخرب از تکنیک حمله هموگراف استفاده میکند، که در آن کاراکتر لیتوانیایی “ė” (U+0117) بهجای “e” به کار رفته و بهسادگی قابل تشخیص نیست.
مراحل پس از نفوذ به سیستم قربانی
پس از آلودگی، افزونه جعلی با نام authbypass-update-31297-id.zip نصب میشود و یک cronjob با نام تصادفی ایجاد میکند که هر دقیقه اجرا شده و سعی در ساخت حساب کاربری جدید با سطح مدیر دارد.
سپس، این افزونه با درخواست HTTP GET به woocommerce-services[.]com/wpapi سایت آلوده را ثبت میکند و یک پیلود مبهمسازیشده مرحله دوم را دریافت میکند. این پیلود چندین شل تحت وب مبتنی بر PHP، از جمله P.A.S.-Form، p0wny و WSO، را در مسیرwp-content/uploads/ نصب میکند.
Patchstackتوضیح داده که این شلهای تحت وب امکان کنترل کامل سایت را فراهم میکنند و میتوانند برای تزریق تبلیغات، هدایت کاربران به مقاصد مخرب، افزودن سرور به باتنتهای DDoS، سرقت اطلاعات کارت پرداخت یا اجرای باجافزار برای رمزگذاری سایت و اخاذی از مالک استفاده شوند.
برای فرار از تشخیص، افزونه خود را از لیست افزونههای قابل مشاهده حذف میکند و حساب کاربری مخرب مدیر را که ایجاد کرده مخفی مینماید.
توصیههای امنیتی
Patchstack به مالکان وبسایت توصیه کرده حسابهای کاربری مدیر با نامهای تصادفی ۸ حرفی، cronjobهای غیرعادی، پوشهای به نام authbypass-update و درخواستهای خروجی به دامنههای woocommerce-services[.]com، woocommerce-api[.]com یا woocommerce-help[.]com را بررسی کنند.
با این حال، این شرکت امنیتی هشدار داده که مهاجمان معمولا پس از افشای عمومی این شاخصها، آنها را تغییر میدهند، بنابراین نباید صرفا به اسکنهای محدود وابسته بود.
