Hackers proberen WooCommerce-klanten te overtuigen om een malafide patch te installeren voor een onbestaande kwetsbaarheid, via een gerichte en realistisch ogende campagne.
WooCommerce-klanten moeten oppassen voor malafide mails die gewag maken van een beveiligingsprobleem. Hackers versturen e-mails zogezegd uit naam van WooCommerce zelf, en waarschuwen daarin voor een Unauthenticated Administrative Access-kwetsbaarheid. Die kwetsbaarheid bestaat niet, maar omschrijft ironisch genoeg wel exact wat de aanvallers zelf willen bereiken.
Realistische pagina
In de mail staat een link naar een erg realistisch ogende pagina, die eruitziet als de officiële WooCommerce-website. Het domein woocommérce[.]com heeft een accentje te veel, maar is verder goed vermomd. Op de site staat een omschrijving naar de kwetsbaarheid en een link naar een zogezegde patch.
Via die link komen gebruikers terecht op een opnieuw veilig ogende, maar nagemaakte pagina waar ze een plug-in binnenhalen onder het mom van een patch. De valse patch vraagt verschillende rechten, die beheerders zullen geven, aangezien ze denken met een officiële download te maken te hebben.
Complete toegang
Na de installatie hebben aanvallers via de malafide plug-in toegang tot de website van het slachtoffer. De criminelen kunnen spam injecteren, eigen advertenties tonen of zelfs gebruikers omleiden naar andere websites. De server waarop de site gehost wordt, kan ook misbruikt worden in een botnet, of versleuteld worden.
De aanvallers maken met hun campagne handig gebruik van de terechte vrees van gebruikers voor beveiligingslekken. De urgentie die ze creëren met de verzonnen kwetsbaarheid, kan beheerders aanzetten om te snel te reageren en details die de misleiding verklappen, over het hoofd te zien. Opletten is zoals steeds de boodschap, net als systemen up to date houden, maar dan exclusief met échte patches.