Redazione RHC : 28 Aprile 2025 08:42
Gli specialisti di Patchstack hanno scoperto una campagna di phishing su larga scala che prendeva di mira gli utenti della piattaforma WooCommerce. Gli aggressori stanno inviando falsi avvisi di sicurezza per sollecitare i proprietari dei siti a installare un “aggiornamento critico” che in realtà introduce una backdoor nel sistema WordPress.
Lo schema di attacco si basa sull’ingegneria sociale: gli amministratori ingenui, scaricando e installando una patch presumibilmente importante, in realtà distribuiscono un plugin dannoso. Il programma crea un account nascosto con diritti di amministratore, carica web shell e fornisce accesso permanente al sito infetto.
Secondo i ricercatori, la campagna attuale è la continuazione di un’operazione simile prevista per la fine del 2023. Poi, i truffatori hanno preso di mira anche gli utenti di WordPress inviando false patch per una vulnerabilità inesistente. Gli analisti notano modelli simili: un insolito set di web shell, metodi identici per mascherare il payload dannoso e testi e-mail simili.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Le email provengono dall’indirizzo help@security-woocommerce[.]com e il loro contenuto riporta : il sito del destinatario è stato oggetto di attacchi hacker con tentativi di sfruttare la vulnerabilità di “accesso amministrativo non autorizzato”.
Per proteggere il negozio online e i dati, gli aggressori propongono di scaricare l’aggiornamento tramite un pulsante integrato. Le istruzioni dettagliate per l’installazione sono allegate alla lettera. E per sicurezza, aggiunge: “Attenzione: la nostra ultima scansione di sicurezza del 21 aprile 2025 ha confermato che questa vulnerabilità critica ha un impatto diretto sul tuo sito.”
Quando si clicca sul pulsante “Scarica patch”, la vittima viene indirizzata a una pagina WooCommerce falsa. I truffatori utilizzano un dominio particolarmente insidioso, woocommėrce[.]com, che differisce da quello ufficiale solo per un simbolo: al posto della “e” latina, viene utilizzata la lettera lituana “ė” (U+0117). Naturalmente la differenza è estremamente difficile da notare a occhio nudo.
Dopo aver installato la patch (file “authbypass-update-31297-id.zip”), nello scheduler viene creata un’attività con un nome arbitrario. Viene eseguito ogni minuto, tentando di creare un nuovo utente con diritti di amministratore. Il plugin registra quindi il sito infetto tramite una richiesta HTTP GET al dominio woocommerce-services[.]com/wpapi e riceve la seconda fase del payload malware mascherato.
Successivamente, vengono installati diversi wrapper PHP nella directory wp-content/uploads/, tra cui PAS-Form, p0wny e WSO. Secondo gli esperti, questi strumenti garantiscono il controllo completo sulla risorsa. Con il loro aiuto, gli aggressori possono inserire pubblicità, reindirizzare gli utenti a pagine dannose, utilizzare il server in botnet DDoS, rubare dati di carte di pagamento o crittografare il contenuto di siti web a fini di estorsione.
Per camuffarsi, il plugin dannoso si rimuove dall’elenco delle estensioni installate e nasconde l’account amministratore che ha creato. Il team di Patchstack consiglia ai proprietari delle risorse di verificare la presenza di segnali sospetti: account di amministrazione con nomi casuali di 8 caratteri, attività insolite nello scheduler, la cartella authbypass-update e richieste in uscita ai domini woocommerce-services[.]com, woocommerce-api[.]com o woocommerce-help[.]com.
Il rapporto sottolinea inoltre che, una volta che gli indicatori di compromissione diventano pubblici, i criminali informatici solitamente li modificano. Pertanto, non dovresti limitarti a controllare solo questi segnali specifici.
RedazioneDiversi prodotti di sicurezza Fortinet, tra cui FortiOS, FortiProxy e FortiPAM, sono interessati da una vulnerabilità di evasione dell’autenticazione di alta gravità. La falla, monito...
Agosto Patch Tuesday: Microsoft rilascia aggiornamenti sicurezza che fixano 107 vulnerabilità nei prodotti del suo ecosistema. L’aggiornamento include correzioni per 90 vulnerabilità,...
29.000 server Exchange sono vulnerabili al CVE-2025-53786, che consente agli aggressori di muoversi all’interno degli ambienti cloud Microsoft, portando potenzialmente alla compromissione compl...
Come era prevedibile, il famigerato bug scoperto su WinRar, viene ora sfruttato attivamente dai malintenzionati su larga scala, vista la diffusione e la popolarità del software. Gli esperti di ES...
Il Governo della Repubblica Popolare Cinese (“Cina”) e il Governo degli Stati Uniti d’America (“USA”), secondo quanto riportato da l’agenzia di stampa Xinhua ...
