حملة تصيّد خبيثة تستهدف مستخدمي WooCommerce عبر تحديثات أمنية وهمية

حذر باحثون في مجال الأمن السيبراني من حملة تصيّد إلكتروني واسعة النطاق تستهدف مستخدمي WooCommerce عبر إرسال رسائل تنبيه أمني زائفة تحثهم على تحميل “تحديث أمني حرج”، لكن الهدف الحقيقي هو زرع أبواب خلفية للتحكم في مواقعهم عن بُعد.

وأوضحت شركة أمن مواقع الويب Patchstack أن هذه الهجمات تتمتع بدرجة عالية من الاحترافية، مشيرة إلى أنها تمثل نسخة متطورة من حملة مشابهة تم رصدها في ديسمبر 2023، والتي استخدمت حينها خدعة ثغرة أمنية مزعومة لاختراق مواقع ووردبريس.

وبالنظر إلى التشابه الكبير في أساليب رسائل البريد الاحتيالي، وصفحات الويب المزيفة، وتقنيات إخفاء البرمجيات الخبيثة، يُعتقد أن الموجة الجديدة من الهجمات تنفذها نفس الجهة التهديدية أو مجموعة جديدة تقلدها بدقة.

تفاصيل الهجوم: كيف تتم الخدعة؟

بحسب الباحث الأمني تشاز وولكوت، يدعي المهاجمون أن المواقع المستهدفة متأثرة بثغرة “وصول إداري غير موثق” – وهي ثغرة غير موجودة أساسًا – ثم يحثون الضحايا على زيارة موقع تصيّد يستخدم خدعة “التشابه البصري” (IDN Homograph Attack) ليبدو وكأنه الموقع الرسمي لـ WooCommerce.

يُطلب من الضحايا النقر على رابط “تحميل التحديث”، مما يحولهم إلى صفحة مزيفة في نطاق شبيه (woocommėrce[.]com) حيث يمكن تنزيل أرشيف مضغوط باسم authbypass-update-31297-id.zip.

بمجرد تثبيت التحديث الوهمي بنفس طريقة تثبيت الإضافات التقليدية في ووردبريس، تبدأ سلسلة من الأنشطة الخبيثة، تشمل:

إنشاء حساب مستخدم إداري جديد باسم وكلمة مرور مخفيين.
إرسال طلب HTTP GET إلى خادم خارجي (woocommerce-services[.]com/wpapi) لإرسال بيانات الحساب وعنوان الموقع المصاب.
تحميل حمولة خبيثة مشفرة إضافية من خوادم أخرى مثل woocommerce-help[.]com أو woocommerce-api[.]com.
فك تشفير الحمولة الخبيثة لاستخراج عدة أدوات تحكم خبيثة (Web Shells) مثل P.A.S.-Fork، وp0wny، وWSO.
إخفاء الإضافة الخبيثة من قائمة الإضافات، وإخفاء الحساب الإداري الجديد.