Allarme WooCommerce: Falsa patch di sicurezza infetta migliaia di siti WordPress!

Gli specialisti di Patchstack hanno scoperto una campagna di phishing su larga scala che prendeva di mira gli utenti della piattaforma WooCommerce. Gli aggressori stanno inviando falsi avvisi di sicurezza per sollecitare i proprietari dei siti a installare un “aggiornamento critico” che in realtà introduce una backdoor nel sistema WordPress.

Lo schema di attacco si basa sull’ingegneria sociale: gli amministratori ingenui, scaricando e installando una patch presumibilmente importante, in realtà distribuiscono un plugin dannoso. Il programma crea un account nascosto con diritti di amministratore, carica web shell e fornisce accesso permanente al sito infetto.

Secondo i ricercatori, la campagna attuale è la continuazione di un’operazione simile prevista per la fine del 2023. Poi, i truffatori hanno preso di mira anche gli utenti di WordPress inviando false patch per una vulnerabilità inesistente. Gli analisti notano modelli simili: un insolito set di web shell, metodi identici per mascherare il payload dannoso e testi e-mail simili.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Le email provengono dall’indirizzo help@security-woocommerce[.]com e il loro contenuto riporta : il sito del destinatario è stato oggetto di attacchi hacker con tentativi di sfruttare la vulnerabilità di “accesso amministrativo non autorizzato”.

Per proteggere il negozio online e i dati, gli aggressori propongono di scaricare l’aggiornamento tramite un pulsante integrato. Le istruzioni dettagliate per l’installazione sono allegate alla lettera. E per sicurezza, aggiunge: “Attenzione: la nostra ultima scansione di sicurezza del 21 aprile 2025 ha confermato che questa vulnerabilità critica ha un impatto diretto sul tuo sito.”

Quando si clicca sul pulsante “Scarica patch”, la vittima viene indirizzata a una pagina WooCommerce falsa. I truffatori utilizzano un dominio particolarmente insidioso, woocommėrce[.]com, che differisce da quello ufficiale solo per un simbolo: al posto della “e” latina, viene utilizzata la lettera lituana “ė” (U+0117). Naturalmente la differenza è estremamente difficile da notare a occhio nudo.

Dopo aver installato la patch (file “authbypass-update-31297-id.zip”), nello scheduler viene creata un’attività con un nome arbitrario. Viene eseguito ogni minuto, tentando di creare un nuovo utente con diritti di amministratore. Il plugin registra quindi il sito infetto tramite una richiesta HTTP GET al dominio woocommerce-services[.]com/wpapi e riceve la seconda fase del payload malware mascherato.

Successivamente, vengono installati diversi wrapper PHP nella directory wp-content/uploads/, tra cui PAS-Form, p0wny e WSO. Secondo gli esperti, questi strumenti garantiscono il controllo completo sulla risorsa. Con il loro aiuto, gli aggressori possono inserire pubblicità, reindirizzare gli utenti a pagine dannose, utilizzare il server in botnet DDoS, rubare dati di carte di pagamento o crittografare il contenuto di siti web a fini di estorsione.

Per camuffarsi, il plugin dannoso si rimuove dall’elenco delle estensioni installate e nasconde l’account amministratore che ha creato. Il team di Patchstack consiglia ai proprietari delle risorse di verificare la presenza di segnali sospetti: account di amministrazione con nomi casuali di 8 caratteri, attività insolite nello scheduler, la cartella authbypass-update e richieste in uscita ai domini woocommerce-services[.]com, woocommerce-api[.]com o woocommerce-help[.]com.

Il rapporto sottolinea inoltre che, una volta che gli indicatori di compromissione diventano pubblici, i criminali informatici solitamente li modificano. Pertanto, non dovresti limitarti a controllare solo questi segnali specifici.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.