Especialistas da Patchstack identificaram uma campanha de phishing em larga escala contra usuários da plataforma WooCommerce. Os invasores enviam falsos alertas de segurança solicitando a instalação de uma “atualização crítica”, que na verdade insere um backdoor nos sites WordPress. O golpe é baseado em engenharia social: administradores desavisados acabam instalando um plugin malicioso que cria uma conta oculta com privilégios de administrador e carrega shells da web para garantir acesso contínuo.
Leia também
Novos jailbreaks derrubam a segurança de GenAI
Em horas, IA gera exploit usando descrição de CVE
A campanha atual parece ser uma continuação de operações similares ocorridas no final de 2023, mantendo padrões como o uso de shells personalizados e mensagens de e-mail semelhantes. As mensagens partem do endereço help@security-woocommerce[.]com e levam os usuários a uma página falsa (woocommėrce[.]com) que imita o site oficial, com a diferença quase imperceptível de uma letra modificada.
Após o download e instalação do arquivo “authbypass-update-31297-id.zip”, o plugin malicioso cria tarefas automáticas, instala web shells no diretório wp-content/uploads/ e registra o site infectado para receber cargas adicionais. Com isso, os atacantes conseguem injetar publicidade, roubar dados ou mesmo usar o servidor para ataques DDoS.
O plugin se remove da lista de extensões e oculta a conta de administrador criada para dificultar a detecção. A Patchstack recomenda que administradores fiquem atentos a contas de administrador suspeitas, tarefas incomuns no agendador e arquivos não reconhecidos. Como os indicadores de comprometimento tendem a ser alterados rapidamente pelos criminosos, é necessário adotar medidas de análise contínua e cautelosa.
