Cảnh báo lừa đảo: Giả mạo WooCommerce để phát tán plugin độc hại

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
95
763 bài viết
Cảnh báo lừa đảo: Giả mạo WooCommerce để phát tán plugin độc hại
WhiteHat Team
Một chiến dịch phishing quy mô lớn đang nhắm vào người dùng WooCommerce bằng cách gửi email cảnh báo lỗ hổng bảo mật giả.

1745562554552.png

Chiêu thức của tin tặc:
  • Gửi email từ địa chỉ giả mạo: help@security-woocommerce[.]com
  • Cảnh báo người dùng về một lỗ hổng không có thật mang tên “Unauthenticated Administrative Access”
  • Yêu cầu tải bản vá từ một trang web giả mạo giống hệt WooCommerce, sử dụng kỹ thuật IDN homograph attack (ví dụ: thay chữ e thành ė trong domain woocommėrce[.]com)

Hậu quả khi người dùng tải và cài plugin độc hại:
  • Plugin thêm một cronjob chạy mỗi phút
  • Tạo tài khoản admin ẩn với tên ngẫu nhiên
  • Gửi thông tin tài khoản về server của tin tặc
  • Tải thêm mã độc được mã hóa từ các domain như woocommerce-help[.]com
  • Cài nhiều web shell nguy hiểm như P.A.S-Fork, p0wny, WSO
  • Plugin ẩn chính nó và tài khoản admin khỏi bảng điều khiển WordPress
  • Hậu quả: Tin tặc có toàn quyền kiểm soát website, có thể:
  • Chèn quảng cáo trái phép
  • Chuyển hướng người dùng đến trang lừa đảo
  • Phát động tấn công DDoS
  • Đánh cắp thông tin thanh toán
  • Thực hiện tống tiền, mã hóa dữ liệu

Dấu hiệu nhận biết website bị xâm nhập:
  • Có người dùng admin lạ với tên ngẫu nhiên (8 ký tự)
  • Có cronjob lạ (ví dụ: mergeCreator655)
  • Có thư mục authbypass-update trong wp-content/plugins
  • Có thư mục wp-cached-<8 ký tự> trong wp-content/uploads
  • Website gửi yêu cầu đến các domain đáng ngờ như woocommerce-services[.]com

Các chuyên gia khuyến nghị các quản trị viên:
  • Luôn xác minh tính hợp lệ của các cảnh báo bảo mật và không tải xuống hoặc cài đặt các bản vá hoặc plugin từ các nguồn không chính thức.
  • Thực hiện giám sát hệ thống để phát hiện sớm các hoạt động bất thường, đặc biệt là các tài khoản quản trị viên mới hoặc các cronjob lạ.
  • Báo cáo các email lừa đảo cho WooCommerce và theo dõi các hướng dẫn bảo mật từ các nguồn chính thức để đảm bảo hệ thống được bảo vệ.
  • Kiểm tra kỹ domain trước khi tải file
  • Quét website định kỳ để phát hiện web shell hoặc người dùng đáng ngờ.
Theo Security Online
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo: Quét mã QR cẩn trọng với lừa đảo Quishing
  • CISA cảnh báo 2 lỗ hổng nguy hiểm trong kernel Linux đang bị khai thác thực tế
  • Cảnh báo lỗ hổng chưa được vá hoàn toàn trong NVIDIA Toolkit có thể đe dọa hệ thống
  • Cảnh báo: Giấy báo phạt nguội giao thông gửi qua shipper là lừa đảo
  • CISA cảnh báo việc khai thác lỗ hổng bảo mật trong Cisco Smart Licensing Utility
  • GitLab cảnh báo nguy cơ lỗ hổng XSS và leo thang đặc quyền
    • Thẻ
    email plugin woocommerce
    Bên trên