Kampanye phishing yang meluas telah menargetkan administrator WooCommerce secara global sejak April 2025. Operasi menipu pemilik situs untuk memasang tambalan keamanan curang yang memberikan kontrol penuh kepada penyerang atas situs WordPress mereka.
Para peneliti di Patchstack mengungkap operasi ini, yang meniru plugin WooCommerce yang banyak digunakan melalui email yang dikirim dari BANTU@Security-WooCommerce[.]com. PHISHING EMAILANG WARTIF PENULISAN TERHADAP ROLNERabilitas Fiktif Terkait dengan akses administratif yang tidak aautentikasi dan menekan mereka untuk menginstal “tambalan kritis” dengan mengklik tombol tertanam. Korban kemudian dialihkan ke domain palsu, WooCommėrce[.]comyang menggunakan pertukaran karakter halus untuk tampil otentik.
Setelah pengguna mengunduh file – AUTHBYPASS-OPDATE-31297-ID.ZIP – Ini menginstal plugin berbahaya yang membuat akun administrator tersembunyi dan menghubungkan situs yang dikompromikan ke server perintah jarak jauh. Cronjob berjalan setiap menit untuk mempertahankan akses dan mengunduh muatan tambahan, termasuk cangkang web berbasis PHP yang populer seperti PAS-Form, P0WNY, dan WSO. Alat -alat ini memungkinkan penyerang untuk menyuntikkan iklan, mencuri data pembayaran, mengarahkan pengunjung, meluncurkan serangan DDOS, atau bahkan menggunakan ransomware.
Untuk menghindari deteksi, plugin menghapus dirinya sendiri dari daftar plugin yang terlihat dan menyembunyikan akun admin tidak sah yang dibuat. Itu juga memasang pintu belakang di wp-content/unggah/ Direktori situs yang terinfeksi, memberikan penyerang dengan akses berkelanjutan bahkan setelah upaya untuk membersihkan atau mengembalikan sistem.
Menurut Patchstack, kampanye ini memiliki kesamaan yang mencolok dengan operasi sebelumnya dari akhir 2023 yang juga menggunakan pemberitahuan keamanan palsu untuk mengkompromikan situs WordPress. Kedua kampanye mengandalkan jenis cangkang web yang identik, teknik untuk menyembunyikan kode jahat, dan bahasa phishing yang hampir tidak dapat dibedakan – menunjukkan keterlibatan baik aktor ancaman yang sama atau kelompok yang berafiliasi erat.
Laporan ini juga mendesak pemilik situs WooCommerce untuk memeriksa semua akun administrator untuk nama 8 karakter yang tidak biasa, tugas-tugas yang dijadwalkan audit seperti cronjobs untuk entri yang tidak dikenal, dan memantau lalu lintas keluar ke domain yang mencurigakan, termasuk Layanan WooCommerce[.]com Dan WooCommerce-Help[.]com. Sistem yang terinfeksi juga dapat berisi folder bernama Authbypass-updateyang harus diselidiki dan dihapus secara menyeluruh.
Serangan serupa lainnya terjadi hanya beberapa bulan sebelumnya, pada Juli 2023, ketika situs WordPress – terutama yang menggunakan WooCommerce – ditargetkan melalui kerentanan kritis dalam plugin pembayaran WooCommerce. Kampanye itu juga mengandalkan taktik phishing untuk mengkompromikan akses administratif, memperkuat pola penyerang memperbaiki dan menggunakan kembali strategi rekayasa sosial yang sukses dari waktu ke waktu.
Para peneliti memperingatkan bahwa begitu aktor ancaman terpapar, mereka cenderung menyesuaikan metode mereka untuk menghindari deteksi. Akibatnya, hanya mengandalkan indikator yang diketahui sebelumnya mungkin tidak lagi cukup. Audit manual komprehensif dari instalasi WordPress, dikombinasikan dengan penambalan tepat waktu menggunakan pembaruan terverifikasi dari sumber resmi, tetap penting untuk mengamankan situs yang rentan.