一場大規模釣魚攻擊正針對WooCommerce用戶，通過偽造安全警報誘使他們下載所謂的"關鍵補丁"，實則為植入WordPress后門的惡意程序。

惡意插件植入

根據Patchstack研究人員發現，上當受騙的用戶在下載更新時，實際上安裝的是惡意插件。該插件會：

• 在網站上創建隱藏管理員賬戶
• 下載Web Shell攻擊載荷
• 維持持久性訪問權限

此次攻擊似乎是2023年末類似攻擊的延續，當時攻擊者同樣以虛構漏洞的虛假補丁針對WordPress用戶。研究人員指出，兩次攻擊使用了相同的Web Shell組合、完全一致的載荷隱藏方法以及相似的郵件內容。

偽造安全警報

攻擊者偽裝成WooCommerce官方，使用"help@security-woocommerce[.]com"地址向網站管理員發送釣魚郵件。郵件聲稱收件人網站正面臨"未授權管理訪問"漏洞攻擊，并附帶"立即下載補丁"按鈕和詳細安裝指南。

郵件內容節選： "我們在2025年4月14日發現WooCommerce平臺存在關鍵安全漏洞...4月21日的最新安全掃描確認該漏洞直接影響您的網站...強烈建議您立即采取措施保護商店和數據安全。"

針對WooCommerce用戶的釣魚郵件來源：Patchstack

同形異義字攻擊

點擊"下載補丁"按鈕會跳轉至高度仿冒WooCommerce的惡意網站"woocomm?rce[.]com"。攻擊者使用立陶宛字符"?"(U+0117)替代字母"e"，實施同形異義字攻擊，這種細微差別極易被忽視。

仿冒WooCommerce平臺的惡意網站來源：Patchstack

感染后活動

受害者安裝了虛假的安全修復程序（“authbypass-update-31297-id.zip”）后，該程序會創建一個隨機命名的定時任務（cronjob），每分鐘運行一次，試圖創建一個新的管理員級別用戶。

接下來，該插件會通過向 “woocommerce-services [.] com/wpapi” 發送 HTTP GET 請求來注冊受感染的網站，并獲取第二階段經過混淆處理的有效載荷。進而在 “wp-content/uploads/” 目錄下安裝多個基于 PHP 的網頁后門，包括 P.A.S.-Form、p0wny 和 WSO。

Patchstack 評論稱，這些網頁后門可讓人完全控制網站，可能被用于廣告注入、將用戶重定向到惡意網站、讓服務器加入分布式拒絕服務攻擊（DDoS）僵尸網絡、竊取支付卡信息，或者執行勒索軟件來加密網站并向網站所有者敲詐勒索。

為了逃避檢測，該插件會將自身從可見的插件列表中移除，并且還會隱藏它創建的惡意管理員賬戶。

Patchstack 建議網站所有者仔細檢查那些名稱為 8 個字符的隨機名稱的管理員賬戶、不尋常的定時任務、名為 “authbypass-update” 的文件夾，以及向 woocommerce-services [.] com、woocommerce-api [.] com 或 woocommerce-help [.] com 發出的出站請求。

不過，一旦這些威脅指標通過公開研究曝光，威脅行為者通常會更改所有這些指標，所以務必不要依賴于小范圍的掃描。