虚假安全补丁攻击WooCommerce管理员以劫持网站

admin

146158
文章

119
评论

2025年4月28日23:16:36评论23 views字数 1427阅读4分45秒阅读模式

虚假安全补丁攻击WooCommerce管理员以劫持网站

一场大规模钓鱼攻击正针对WooCommerce用户，通过伪造安全警报诱使他们下载所谓的"关键补丁"，实则为植入WordPress后门的恶意程序。

恶意插件植入

根据Patchstack研究人员发现，上当受骗的用户在下载更新时，实际上安装的是恶意插件。该插件会：

在网站上创建隐藏管理员账户
下载Web Shell攻击载荷
维持持久性访问权限

此次攻击似乎是2023年末类似攻击的延续，当时攻击者同样以虚构漏洞的虚假补丁针对WordPress用户。研究人员指出，两次攻击使用了相同的Web Shell组合、完全一致的载荷隐藏方法以及相似的邮件内容。

伪造安全警报

攻击者伪装成WooCommerce官方，使用"help@security-woocommerce[.]com"地址向网站管理员发送钓鱼邮件。邮件声称收件人网站正面临"未授权管理访问"漏洞攻击，并附带"立即下载补丁"按钮和详细安装指南。

邮件内容节选："我们在2025年4月14日发现WooCommerce平台存在关键安全漏洞...4月21日的最新安全扫描确认该漏洞直接影响您的网站...强烈建议您立即采取措施保护商店和数据安全。"

钓鱼邮件针对WooCommerce用户的钓鱼邮件来源：Patchstack

同形异义字攻击

点击"下载补丁"按钮会跳转至高度仿冒WooCommerce的恶意网站"woocommėrce[.]com"。攻击者使用立陶宛字符"ė"(U+0117)替代字母"e"，实施同形异义字攻击，这种细微差别极易被忽视。

仿冒WooCommerce平台的恶意网站仿冒WooCommerce平台的恶意网站来源：Patchstack

感染后活动

当受害者安装了名为 “authbypass-update-31297-id.zip” 的虚假安全修复程序后，系统会生成一个名称随机的定时任务（cronjob）。该任务每分钟自动运行一次，目的是创建一个新的管理员级别的用户账号。

随后，该插件会向 “woocommerce-services [.] com/wpapi” 发送 HTTP GET 请求，以此来注册已被感染的网站，并获取经过混淆处理的第二阶段恶意程序载荷。紧接着，系统的 “wp-content/uploads/” 目录下会被安装多个基于 PHP 的网页后门程序，包括 P.A.S.-Form、p0wny 和 WSO。

Patchstack 分析指出，这些网页后门程序可让攻击者完全掌控网站，进而实施一系列恶意行为，如注入广告、将用户重定向至恶意网站、利用服务器组建分布式拒绝服务攻击（DDoS）僵尸网络、盗取支付卡信息，甚至还能运行勒索软件加密网站，以此向网站所有者索要赎金。

为了躲避安全检测，该插件会将自身从插件列表中隐藏起来，同时也会隐藏其创建的恶意管理员账号。

Patchstack 建议网站所有者仔细检查管理员账号，特别留意那些名称为 8 位随机字符的账号，还要关注异常的定时任务、名为 “authbypass-update” 的文件夹，以及向 woocommerce-services [.] com、woocommerce-api [.] com 或 woocommerce-help [.] com 发出的网络请求。

还需注意的是，一旦这些威胁特征通过公开研究被曝光，攻击者往往会立即更改这些指标。因此，用户在进行安全检测时，切勿仅仅依赖于小范围的扫描。