一場(chǎng)大規(guī)模釣魚(yú)攻擊正針對(duì)WooCommerce用戶，通過(guò)偽造安全警報(bào)誘使他們下載所謂的"關(guān)鍵補(bǔ)丁"，實(shí)則為植入WordPress后門(mén)的惡意程序。

惡意插件植入

根據(jù)Patchstack研究人員發(fā)現(xiàn)，上當(dāng)受騙的用戶在下載更新時(shí)，實(shí)際上安裝的是惡意插件。該插件會(huì)：

• 在網(wǎng)站上創(chuàng)建隱藏管理員賬戶
• 下載Web Shell攻擊載荷
• 維持持久性訪問(wèn)權(quán)限

此次攻擊似乎是2023年末類似攻擊的延續(xù)，當(dāng)時(shí)攻擊者同樣以虛構(gòu)漏洞的虛假補(bǔ)丁針對(duì)WordPress用戶。研究人員指出，兩次攻擊使用了相同的Web Shell組合、完全一致的載荷隱藏方法以及相似的郵件內(nèi)容。

偽造安全警報(bào)

攻擊者偽裝成WooCommerce官方，使用"help@security-woocommerce[.]com"地址向網(wǎng)站管理員發(fā)送釣魚(yú)郵件。郵件聲稱收件人網(wǎng)站正面臨"未授權(quán)管理訪問(wèn)"漏洞攻擊，并附帶"立即下載補(bǔ)丁"按鈕和詳細(xì)安裝指南。

郵件內(nèi)容節(jié)選： "我們?cè)?025年4月14日發(fā)現(xiàn)WooCommerce平臺(tái)存在關(guān)鍵安全漏洞...4月21日的最新安全掃描確認(rèn)該漏洞直接影響您的網(wǎng)站...強(qiáng)烈建議您立即采取措施保護(hù)商店和數(shù)據(jù)安全。"

針對(duì)WooCommerce用戶的釣魚(yú)郵件來(lái)源：Patchstack

同形異義字攻擊

點(diǎn)擊"下載補(bǔ)丁"按鈕會(huì)跳轉(zhuǎn)至高度仿冒WooCommerce的惡意網(wǎng)站"woocomm?rce[.]com"。攻擊者使用立陶宛字符"?"(U+0117)替代字母"e"，實(shí)施同形異義字攻擊，這種細(xì)微差別極易被忽視。

仿冒WooCommerce平臺(tái)的惡意網(wǎng)站來(lái)源：Patchstack

感染后活動(dòng)

受害者安裝了虛假的安全修復(fù)程序（“authbypass-update-31297-id.zip”）后，該程序會(huì)創(chuàng)建一個(gè)隨機(jī)命名的定時(shí)任務(wù)（cronjob），每分鐘運(yùn)行一次，試圖創(chuàng)建一個(gè)新的管理員級(jí)別用戶。

接下來(lái)，該插件會(huì)通過(guò)向 “woocommerce-services [.] com/wpapi” 發(fā)送 HTTP GET 請(qǐng)求來(lái)注冊(cè)受感染的網(wǎng)站，并獲取第二階段經(jīng)過(guò)混淆處理的有效載荷。進(jìn)而在 “wp-content/uploads/” 目錄下安裝多個(gè)基于 PHP 的網(wǎng)頁(yè)后門(mén)，包括 P.A.S.-Form、p0wny 和 WSO。

Patchstack 評(píng)論稱，這些網(wǎng)頁(yè)后門(mén)可讓人完全控制網(wǎng)站，可能被用于廣告注入、將用戶重定向到惡意網(wǎng)站、讓服務(wù)器加入分布式拒絕服務(wù)攻擊（DDoS）僵尸網(wǎng)絡(luò)、竊取支付卡信息，或者執(zhí)行勒索軟件來(lái)加密網(wǎng)站并向網(wǎng)站所有者敲詐勒索。

為了逃避檢測(cè)，該插件會(huì)將自身從可見(jiàn)的插件列表中移除，并且還會(huì)隱藏它創(chuàng)建的惡意管理員賬戶。

Patchstack 建議網(wǎng)站所有者仔細(xì)檢查那些名稱為 8 個(gè)字符的隨機(jī)名稱的管理員賬戶、不尋常的定時(shí)任務(wù)、名為 “authbypass-update” 的文件夾，以及向 woocommerce-services [.] com、woocommerce-api [.] com 或 woocommerce-help [.] com 發(fā)出的出站請(qǐng)求。

不過(guò)，一旦這些威脅指標(biāo)通過(guò)公開(kāi)研究曝光，威脅行為者通常會(huì)更改所有這些指標(biāo)，所以務(wù)必不要依賴于小范圍的掃描。