Redazione RHC : 28 Aprile 2025 08:42
Gli specialisti di Patchstack hanno scoperto una campagna di phishing su larga scala che prendeva di mira gli utenti della piattaforma WooCommerce. Gli aggressori stanno inviando falsi avvisi di sicurezza per sollecitare i proprietari dei siti a installare un “aggiornamento critico” che in realtà introduce una backdoor nel sistema WordPress.
Lo schema di attacco si basa sull’ingegneria sociale: gli amministratori ingenui, scaricando e installando una patch presumibilmente importante, in realtà distribuiscono un plugin dannoso. Il programma crea un account nascosto con diritti di amministratore, carica web shell e fornisce accesso permanente al sito infetto.
Secondo i ricercatori, la campagna attuale è la continuazione di un’operazione simile prevista per la fine del 2023. Poi, i truffatori hanno preso di mira anche gli utenti di WordPress inviando false patch per una vulnerabilità inesistente. Gli analisti notano modelli simili: un insolito set di web shell, metodi identici per mascherare il payload dannoso e testi e-mail simili.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Le email provengono dall’indirizzo help@security-woocommerce[.]com e il loro contenuto riporta : il sito del destinatario è stato oggetto di attacchi hacker con tentativi di sfruttare la vulnerabilità di “accesso amministrativo non autorizzato”.
Per proteggere il negozio online e i dati, gli aggressori propongono di scaricare l’aggiornamento tramite un pulsante integrato. Le istruzioni dettagliate per l’installazione sono allegate alla lettera. E per sicurezza, aggiunge: “Attenzione: la nostra ultima scansione di sicurezza del 21 aprile 2025 ha confermato che questa vulnerabilità critica ha un impatto diretto sul tuo sito.”
Quando si clicca sul pulsante “Scarica patch”, la vittima viene indirizzata a una pagina WooCommerce falsa. I truffatori utilizzano un dominio particolarmente insidioso, woocommėrce[.]com, che differisce da quello ufficiale solo per un simbolo: al posto della “e” latina, viene utilizzata la lettera lituana “ė” (U+0117). Naturalmente la differenza è estremamente difficile da notare a occhio nudo.
Dopo aver installato la patch (file “authbypass-update-31297-id.zip”), nello scheduler viene creata un’attività con un nome arbitrario. Viene eseguito ogni minuto, tentando di creare un nuovo utente con diritti di amministratore. Il plugin registra quindi il sito infetto tramite una richiesta HTTP GET al dominio woocommerce-services[.]com/wpapi e riceve la seconda fase del payload malware mascherato.
Successivamente, vengono installati diversi wrapper PHP nella directory wp-content/uploads/, tra cui PAS-Form, p0wny e WSO. Secondo gli esperti, questi strumenti garantiscono il controllo completo sulla risorsa. Con il loro aiuto, gli aggressori possono inserire pubblicità, reindirizzare gli utenti a pagine dannose, utilizzare il server in botnet DDoS, rubare dati di carte di pagamento o crittografare il contenuto di siti web a fini di estorsione.
Per camuffarsi, il plugin dannoso si rimuove dall’elenco delle estensioni installate e nasconde l’account amministratore che ha creato. Il team di Patchstack consiglia ai proprietari delle risorse di verificare la presenza di segnali sospetti: account di amministrazione con nomi casuali di 8 caratteri, attività insolite nello scheduler, la cartella authbypass-update e richieste in uscita ai domini woocommerce-services[.]com, woocommerce-api[.]com o woocommerce-help[.]com.
Il rapporto sottolinea inoltre che, una volta che gli indicatori di compromissione diventano pubblici, i criminali informatici solitamente li modificano. Pertanto, non dovresti limitarti a controllare solo questi segnali specifici.
RedazioneLa campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di a...
Una vulnerabilità di tipo authentication bypass è stata individuata in Azure Bastion (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), il servizio g...
Microsoft ha reso nota una vulnerabilità critica in SharePoint Online (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), identificata come CVE-2025-5924...
Il Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, ha rassegnato le proprie dimissioni a seguito di una riunione straordinaria tenuta questa mattina nella sala Ro...
Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato. Secondo l’accusa, i...
