Pesquisadores de segurança cibernética alertam para uma campanha de phishing em larga escala que tem como alvo usuários do WooCommerce. Hackers estão enviando e-mails falsos de alerta de segurança que induzem as vítimas a baixar uma “atualização crítica”, que, na verdade, instala uma porta dos fundos nos sites. De acordo com a empresa Patchstack, essa campanha é uma variação de outra detectada em dezembro de 2023. A semelhança nas mensagens fraudulentas, páginas falsas e métodos de ocultação de malware indica que o ataque pode ser obra do mesmo grupo ou de imitadores.

Os atacantes alegam que os sites estão vulneráveis a um falso problema de “Acesso Administrativo Não Autenticado” e direcionam os usuários a um site de phishing que simula o portal do WooCommerce, usando um truque de homografia no domínio “woocommėrce[.]com” (com “ė” no lugar do “e”). Ao clicar em “Download Patch”, as vítimas são levadas a uma página falsa e baixam o arquivo “authbypass-update-31297-id.zip”. A instalação do falso patch como plugin WordPress desencadeia uma série de ações maliciosas, como a criação de um novo usuário administrador, envio de informações a servidores externos, download de cargas adicionais e instalação de web shells como P.A.S.-Fork, p0wny e WSO. O plugin malicioso é ocultado da lista de plugins ativos, assim como o novo usuário administrador criado.

Dessa forma, os hackers mantêm o acesso ao site, podendo injetar anúncios maliciosos, redirecionar visitantes a sites fraudulentos, usar os servidores para ataques DDoS e até realizar extorsões criptografando recursos do site. Especialistas recomendam que os usuários verifiquem seus sites em busca de plugins suspeitos ou contas de administrador desconhecidas, além de manter o WooCommerce e outros sistemas atualizados para reduzir o risco de ataque.