Trwa szeroko zakrojona akcja cyberprzestępców wymierzona w właścicieli sklepów internetowych korzystających z popularnej wtyczki WooCommerce. Pod pozorem konieczności pilnego zainstalowania krytycznej poprawki bezpieczeństwa, hakerzy rozsyłają spreparowane e-maile, których celem jest nakłonienie administratorów stron do pobrania złośliwego oprogramowania. Zamiast zabezpieczyć stronę przed rzekomym zagrożeniem, „aktualizacja” otwiera przestępcom drzwi do pełnej kontroli nad witryną. Mechanizm działania tego ataku opiera się na precyzyjnie przygotowanych wiadomościach e-mail, które do złudzenia przypominają oficjalne komunikaty WooCommerce. W treści pojawia się informacja o wykryciu krytycznej luki, która – jak twierdzą oszuści – pozwala nieautoryzowanym osobom uzyskać dostęp administracyjny do sklepu. Wiadomość podsyca atmosferę zagrożenia, podkreślając, że problem został zidentyfikowany podczas ostatniego skanowania bezpieczeństwa. Odbiorcy są zachęcani do szybkiej reakcji i kliknięcia przycisku, który prowadzi do strony podszywającej się pod oficjalny serwis WooCommerce.
Podszywają się pod WooCommerce, by zainfekować sklepy
Fałszywa witryna, do której kierowane są ofiary, różni się od prawdziwej domeny jedynie subtelną podmianą jednej litery. To sprytna sztuczka, znana jako atak homograficzny, gdzie klasyczne „e” w nazwie domeny zostało zastąpione litewskim „ė”. W natłoku obowiązków i przy szybkim przeglądaniu korespondencji wielu administratorów może nawet nie zauważyć tej różnicy. Ten szczegół decyduje jednak o tym, czy sklep pozostanie bezpieczny, czy stanie się łatwym celem dla cyberprzestępców. Osoby, które dają się nabrać na tę pułapkę i instalują rzekomą łatkę bezpieczeństwa, nieświadomie uruchamiają na swojej stronie wtyczkę zawierającą backdoora. Po zainstalowaniu złośliwego pakietu atakujący zyskują możliwość tworzenia ukrytych kont administracyjnych oraz instalowania dodatkowego oprogramowania, które umożliwia im nieprzerwany dostęp do serwera. Co więcej, złośliwa wtyczka potrafi maskować swoją obecność – znika z listy aktywnych wtyczek i ukrywa nowo utworzone konto administratora, co znacząco utrudnia jej wykrycie. Sama infekcja nie ogranicza się do jednorazowego działania. Po zainstalowaniu fałszywej poprawki uruchamiany jest proces, który w sposób ciągły próbuje utworzyć nowego użytkownika z pełnymi uprawnieniami administratora. W tym celu wykorzystuje specjalnie przygotowane zadania cron, które aktywują się co minutę. Tym samym atakujący zapewniają sobie możliwość odzyskania dostępu nawet wtedy, gdy właściciel sklepu zorientuje się, że coś jest nie tak i spróbuje ręcznie usunąć nieautoryzowane konto.
Złośliwa „łatka” otwiera drogę do pełnego przejęcia witryny
Zaraz po infekcji strona zostaje również zarejestrowana na zewnętrznych serwerach, a następnie dociągane są dodatkowe złośliwe komponenty. Wśród nich znajdują się dobrze znane narzędzia typu web shell, które pozwalają atakującym na niemal nieograniczone manipulowanie zainfekowaną witryną. Te web shelle umożliwiają nie tylko podgląd i edycję plików, ale także wykonywanie poleceń systemowych, co w praktyce daje przestępcom pełnię władzy nad stroną. Mogą dowolnie modyfikować zawartość sklepu, dodawać ukryte przekierowania, a także wykorzystywać serwer do dalszych działań przestępczych, takich jak ataki DDoS czy rozsyłanie spamu. Jednym z najbardziej niepokojących scenariuszy jest możliwość wykorzystania przejętej witryny do kradzieży danych płatniczych klientów sklepu. Przestępcy mogą wstrzykiwać złośliwe skrypty, które przechwytują dane kart kredytowych w momencie dokonywania zakupów. Innym zagrożeniem jest instalacja ransomware, które szyfruje wszystkie pliki na serwerze i domaga się okupu za ich odszyfrowanie. W takim przypadku nie tylko sklep zostaje wyłączony z działania, ale również jego właściciel staje w obliczu poważnych strat finansowych oraz utraty zaufania klientów.
