Chiến dịch lừa đảo quy mô lớn nhắm vào quản trị viên WooCommerce nhằm chiếm quyền điều khiển

Tổng quan

Thời gian gần đây, một chiến dịch lừa đảo quy mô lớn nhắm vào người dùng WooC Commerce với cảnh báo bảo mật giả kêu gọi họ tải xuống một "bản vá quan trọng" để tạo backdoor WordPress vào trang web.

Khi người dùng thực hiện tải xuống thì bản cập nhật sẽ cài lén một plugin độc hại tạo tài khoản quản trị viên ẩn trên trang web của họ, tải xuống các Shell Payload và duy trì quyền truy cập liên tục.

Chiến dịch, được phát hiện bởi các nhà nghiên cứu Patchstack, dường như là sự tiếp nối của một hoạt động tương tự vào cuối năm 2023 nhắm vào người dùng WordPress.

Chi tiết chiến dịch

Ban đầu các Email sẽ nhắm mục tiêu đến quản trị viên WordPress giả mạo plugin thương mại điện tử phổ biến. Tin tặc sẽ sử dụng địa chỉ 'help@security-woocommerce[.]com.' để tiến hành chiến dịch. Trong Email sẽ có cảnh báo về một lỗ hổng nghiêm trọng, trên thực tế thì không tồn tại lỗ hổng nào. Và tin tặc đã cảnh báo để bảo vệ trang Web của mình thì nạn nhân cần thực hiện tiến hành tải xuống bản vá cập nhật và làm theo các bước có trong Email.

Khi nạn nhân thực hiện nhấn vào “DOWNLOAD PATH“ thì sẽ bị điều hướng trình duyệt đến một trang Web giả mạo “woocommėrce[.]com“. Tin tặc đã khôn khéo sử dụng chữ “ė“ thay thế cho chữ “e“. Trường hợp nạn nhân không để ý sẽ rất khó phát hiện được.

Ngay sau khi nạn nhân đã thực hiện cài đặt bản sửa lỗi bảo mật giả ("AuthByPass-upDate-3197-id.zip"), nó sẽ tạo ra một Cronjob có tên ngẫu nhiên và thực hiện chạy mỗi phút nhằm cố gắng tạo người dùng cấp quản trị viên mới.

Sau đó các thông tin đăng nhập được tạo bên trên sẽ được gửi thông qua giao thức GET đến “woocommerce-services[.]com/wpapi.“. Sau đó kẻ tấn công sẽ triển khai các Payload được ẩn dấu. Các web shell được cài đặt bởi những kẻ tấn công cấp plugin độc hại kiểm soát hoàn toàn tài khoản máy chủ bị xâm phạm hoặc lưu trữ web. Từ đó cho phép kẻ tấn công thực hiện một loạt các hành động nguy hiểm:

• Chuyển hướng người dùng đến các trang web độc hại

• Thực hiện một số cuộc tấn công DDoS

• Ăn cắp thông tin thanh toán

• Tấn công tống tiền hoặc ransomware

Tổng kết

Đây là một trong những chiến dịch lừa đảo nguy hiểm vì nó đánh vào lòng tin của người dùng với WordPress và WooCommerce. Với hình thức tinh vi và khả năng chiếm quyền điều khiển toàn bộ hệ thống, chiến dịch này có thể gây tổn thất nghiêm trọng về dữ liệu, uy tín và tài chính.

Hãy luôn cảnh giác trước các email cập nhật bảo mật bất ngờ và nâng cao năng lực bảo mật website của bạn ngay hôm nay.

Khuyến nghị

1. Tuyệt đối không cài đặt plugin từ email lạ

   • WordPress hoặc WooCommerce không bao giờ gửi bản vá dưới dạng file đính kèm hoặc link tải riêng lẻ qua email.

   • Nếu nhận được email cảnh báo lỗ hổng hãy kiểm tra thông tin từ trang chính thức:

     • wordpress.org/news

     • woocommerce.com/blog

2. Chỉ tải plugin và bản cập nhật từ nguồn chính thống

3. Kiểm tra và xóa các plugin hoặc tài khoản đáng ngờ

   • Gỡ bỏ plugin có tên wpress-security-wordpress nếu phát hiện.

   • Kiểm tra và xóa tài khoản người dùng lạ, đặc biệt là tài khoản tên wpsecuritypatch.

   • Tìm và xóa file wp-autoload.php trong thư mục gốc nếu nó không phải file hệ thống hợp lệ.

4. Cài đặt plugin bảo mật và quét mã độc thường xuyên

   • Sử dụng một trong các plugin bảo mật sau:

     • Wordfence

     • Sucuri Security

     • iThemes Security

5. Kích hoạt xác thực hai yếu tố (2FA)

   • Bật 2FA cho tất cả tài khoản quản trị viên để ngăn chặn đăng nhập trái phép.

   • Có thể dùng plugin như WP 2FA hoặc Google Authenticator.

IOC

1. Domain

   • woocommėrce.com

   • en-gb-wordpress.org

   • wpgate.zip

2. Hash

   • ffd5b0344123a984d27c4aa624215fa6452c3849522803b2bc3a6ee0bcb23809

Tham khảo

1. WooCommerce Phishing Attack: Fake Vulnerability Exploits Store Owners

2. WooCommerce admins targeted by fake security patches that hijack sites

3. WooCommerce Users Targeted by Fake Patch Phishing Campaign Deploying Site Backdoors