Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 28 Aprile 2025 08:42
Gli specialisti di Patchstack hanno scoperto una campagna di phishing su larga scala che prendeva di mira gli utenti della piattaforma WooCommerce. Gli aggressori stanno inviando falsi avvisi di sicurezza per sollecitare i proprietari dei siti a installare un “aggiornamento critico” che in realtà introduce una backdoor nel sistema WordPress.
Lo schema di attacco si basa sull’ingegneria sociale: gli amministratori ingenui, scaricando e installando una patch presumibilmente importante, in realtà distribuiscono un plugin dannoso. Il programma crea un account nascosto con diritti di amministratore, carica web shell e fornisce accesso permanente al sito infetto.
Secondo i ricercatori, la campagna attuale è la continuazione di un’operazione simile prevista per la fine del 2023. Poi, i truffatori hanno preso di mira anche gli utenti di WordPress inviando false patch per una vulnerabilità inesistente. Gli analisti notano modelli simili: un insolito set di web shell, metodi identici per mascherare il payload dannoso e testi e-mail simili.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Le email provengono dall’indirizzo help@security-woocommerce[.]com e il loro contenuto riporta : il sito del destinatario è stato oggetto di attacchi hacker con tentativi di sfruttare la vulnerabilità di “accesso amministrativo non autorizzato”.
Per proteggere il negozio online e i dati, gli aggressori propongono di scaricare l’aggiornamento tramite un pulsante integrato. Le istruzioni dettagliate per l’installazione sono allegate alla lettera. E per sicurezza, aggiunge: “Attenzione: la nostra ultima scansione di sicurezza del 21 aprile 2025 ha confermato che questa vulnerabilità critica ha un impatto diretto sul tuo sito.”
Quando si clicca sul pulsante “Scarica patch”, la vittima viene indirizzata a una pagina WooCommerce falsa. I truffatori utilizzano un dominio particolarmente insidioso, woocommėrce[.]com, che differisce da quello ufficiale solo per un simbolo: al posto della “e” latina, viene utilizzata la lettera lituana “ė” (U+0117). Naturalmente la differenza è estremamente difficile da notare a occhio nudo.
Dopo aver installato la patch (file “authbypass-update-31297-id.zip”), nello scheduler viene creata un’attività con un nome arbitrario. Viene eseguito ogni minuto, tentando di creare un nuovo utente con diritti di amministratore. Il plugin registra quindi il sito infetto tramite una richiesta HTTP GET al dominio woocommerce-services[.]com/wpapi e riceve la seconda fase del payload malware mascherato.
Successivamente, vengono installati diversi wrapper PHP nella directory wp-content/uploads/, tra cui PAS-Form, p0wny e WSO. Secondo gli esperti, questi strumenti garantiscono il controllo completo sulla risorsa. Con il loro aiuto, gli aggressori possono inserire pubblicità, reindirizzare gli utenti a pagine dannose, utilizzare il server in botnet DDoS, rubare dati di carte di pagamento o crittografare il contenuto di siti web a fini di estorsione.
Per camuffarsi, il plugin dannoso si rimuove dall’elenco delle estensioni installate e nasconde l’account amministratore che ha creato. Il team di Patchstack consiglia ai proprietari delle risorse di verificare la presenza di segnali sospetti: account di amministrazione con nomi casuali di 8 caratteri, attività insolite nello scheduler, la cartella authbypass-update e richieste in uscita ai domini woocommerce-services[.]com, woocommerce-api[.]com o woocommerce-help[.]com.
Il rapporto sottolinea inoltre che, una volta che gli indicatori di compromissione diventano pubblici, i criminali informatici solitamente li modificano. Pertanto, non dovresti limitarti a controllare solo questi segnali specifici.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
