تهدف حملة التصيد الحجم على نطاق واسع إلى مستخدمي WooCommerce مع تنبيه أمان مزيف يحثهم على تنزيل أ “critical patch”هذا يضيف WordPress الخلفي إلى الموقع.
يقوم المستلمون الذين يأخذون الطعم وتنزيل التحديث بالفعل بتثبيت مكون إضافي ضار ينشئ حساب مسؤول مخفي على موقع الويب الخاص بهم ، ويقوم بتنزيل حمولة الويب Shell ، ويحافظ على وصول مستمر.
الحملة التي كانت”https://patchstack.com/articles/fake-security-vulnerability-phishing-campaign-targets-woocommerce-users/” الهدف=”_blank” rel=”nofollow noopener”> اكتشفها باتشستاك الباحثون ، يبدو أنه استمرار لعملية مماثلة في”https://patchstack.com/articles/fake-cve-phishing-campaign-tricks-wordpress-users-to-install-malware/” الهدف=”_blank” rel=”nofollow noopener”> أواخر 2023 هذا استهدف مستخدمي WordPress مع تصحيح مزيف للحصول على ثغرة أمنية.
تقول باتشستاك إن كلا الحملتين استخدمتا مجموعة غير عادية من قذائف الويب وطرق إخفاء الحمولة المتطابقة ومحتوى بريد إلكتروني مماثل.
تنبيه الأمن المزيف
رسائل البريد الإلكتروني التي تستهدف WordPress Admins محاكاة ساخرة المكون الإضافي لشركة WooCommerce E-Commerce ، باستخدام العنوان “Help@Security-WooCommerce[.]كوم.
يتم إبلاغ المستلمين بأن مواقعهم الإلكترونية كانت مستهدفة من قبل المتسللين الذين يحاولون استغلال ضعف “الوصول الإداري غير المصادق”.
لحماية متاجرهم وبياناتهم عبر الإنترنت ، يُنصح المستلمين بتنزيل تصحيح باستخدام الزر المضمّن ، مع تعليمات خطوة بخطوة حول كيفية تثبيتها المدرجة في الرسالة.
“We are contacting you regarding a critical security vulnerability found in WooCommerce platform on April 14, 2025,” يقرأ رسائل البريد الإلكتروني للتصيد.
“Warning: Our latest security scan, carried out on April 21, 2025, has confirmed that this critical vulnerability directly impacts your website.”
“We strongly advise you to take urgent measures to secure your store and protect your data,” تواصل البريد الإلكتروني لإضافة شعور بالإلحاح.
المصدر: باتشستاك
النقر على زر “تنزيل التصحيح” يأخذ الضحايا إلى موقع ويب يحذر من WooCommerce ، باستخدام WooCommėrce خادع للغاية[.]com ‘المجال الذي لا يمثل سوى شخصية واحدة مختلفة عن woocommerce.com الرسمي.
يستخدم المجال الضار تقنية هجوم متجانسة حيث الشخصية الليتوانية “ė” (U+0117) يستخدم بدلاً من “e,” مما يجعل من السهل تفويت.
المصدر: باتشستاك
نشاط ما بعد الإصابة
بعد أن يقوم الضحية بتثبيت إصلاح الأمان المزيف (“authbypass-update-31297-id.zip”) ، ينشئ cronjob المسمى عشوائيا يعمل كل دقيقة ، في محاولة لإنشاء مستخدم جديد على مستوى المسؤول.
بعد ذلك ، يسجل المكون الإضافي الموقع المصاب عبر HTTP الحصول على طلب لخدمات WooCommerce[.]com/wpapi ، ‘ويحضر حمولة محفوظة في المرحلة الثانية.
هذا ، بدوره ، يقوم بتثبيت قذائف ويب متعددة قائمة على PHP ضمن “WP-Content/Uploads/” ، بما في ذلك PAS-Form و P0WNY و WSO.
تعليقات باتشستاك على أن قذائف الويب هذه تسمح بالتحكم الكامل في الموقع ويمكن استخدامها لحقن الإعلان ، وإعادة توجيه المستخدمين إلى وجهات ضارة ، أو تجنيد الخادم إلى شبكات DDOS ، أو سرقة معلومات بطاقة الدفع ، أو تنفيذ برنامج Ransomware لتشفير الموقع وابتزاز المالك.
للتهرب من الكشف ، يزيل البرنامج المساعد نفسه من قائمة البرنامج المساعد المرئي ويخفي أيضًا حساب المسؤول الضار الذي أنشأته.
تنصح Patchstack أصحاب مواقع الويب بتدقيق حسابات المشرف لأسماء عشوائية مكونة من 8 أحرف ، و cronjobs غير العادية ، ومجلد يسمى “AuthBypass-update” ، وطلبات الصادرة إلى WooCommerce Services[.]com ، woocommerce-api[.]com ، أو woocommerce-help[.]كوم.
ومع ذلك ، تشير شركة الأمن إلى أن ممثلي التهديد عادة ما يغيرون كل هذه المؤشرات بمجرد تعرضها عبر الأبحاث العامة ، لذا تأكد من عدم الاعتماد على عمليات المسح النطاق الضيق.