WooCommerce nel mirino: false patch di sicurezza compromettono siti e dati sensibili

WooCommerce nel mirino: false patch di sicurezza compromettono siti e dati sensibili

Attacco phishing a WooCommerce: cosa sta succedendo?

Negli ultimi giorni, WooCommerce, uno dei plugin e-commerce più popolari per WordPress, è stato bersaglio di una sofisticata campagna di phishing. Gli amministratori dei negozi online stanno ricevendo email allarmanti che segnalano una presunta vulnerabilità critica denominata “unauthenticated administrative access” (“accesso amministrativo non autenticato”) e li invitano a scaricare e installare una patch di sicurezza urgente.

Dietro questa allerta si cela in realtà un tentativo di compromissione del sito: la patch è un plugin malevolo che, una volta installato, apre le porte a cybercriminali, fornendo loro pieno controllo sugli e-commerce colpiti.

Come agisce l’attacco: tutte le fasi spiegate

1. Email di phishing e falsi allarmi

La campagna si apre con email apparentemente provenienti da WooCommerce (tipicamente dall’indirizzo spoofato “help@security-woocommerce[.]com”). Il messaggio mette fretta, menzionando scansioni recenti (con date come 14 o 21 aprile 2025) e chiede di “scaricare subito la patch critica”.

2. Omografo IDN: il trucco della ‘ė’

Il link fornito nell’email porta a un sito truffa (“woocommėrce[.]com”) che sembra quello ufficiale, ma usa la lettera “ė” invece della classica “e” per ingannare l’utente distratto. Questo tipo di attacco, chiamato IDN homograph, consente ai malintenzionati di creare domini visivamente identici a quelli legittimi.

3. Installazione della patch malevola

Scaricando il file “authbypass-update-31297-id.zip” e installandolo come plugin, si innesca l’infezione:

  • Il plugin crea immediatamente un cronjob che ogni minuto tenta di generare un nuovo utente amministratore con nome casuale (di solito una sequenza di 8 caratteri).
  • Il sito attaccato si collega a server esterni (come “woocommerce-services[.]com/wpapi”) per scaricare un secondo payload, crittografato per sfuggire ai controlli.
  • Vengono caricati web shell PHP come P.A.S.-Form, p0wny e WSO nella cartella ‘wp-content/uploads/’, dando pieno accesso remoto agli hacker.

4. Persistenza e occultamento

Per evitare di essere scoperto, il plugin:

  • Scompare dalla lista dei plugin visibili nell’admin di WordPress.
  • Nasconde l’account amministratore malevolo creato.
  • Si assicura che la presenza delle backdoor sia il più discreta possibile.

Conseguenze: cosa rischiano i siti compromessi

Gli effetti di questa infezione sono devastanti:

  • Controllo totale del sito: i criminali possono gestire tutto, come modificare l’aspetto del sito, caricare nuovi file, accedere ai dati personali degli utenti e ai dettagli di pagamento.
  • Furto di dati e carte di credito: i web shell possono essere usati per intercettare transazioni o rubare dati sensibili.
  • Redirezione e pubblicità malevole: gli utenti possono essere reindirizzati verso siti truffa o vedere banner pubblicitari indesiderati.
  • Partecipazione a botnet e DDoS: il server infetto può essere arruolato in botnet per attacchi su larga scala o per inviare spam.
  • Cifratura e ransomware: in alcune varianti, il sito può essere cifrato e reso inutilizzabile fino al pagamento di un riscatto.

Come riconoscere se il tuo WooCommerce è sotto attacco

Gli indicatori tipici di compromissione includono:

  • Presenza di amministratori con nomi di 8 caratteri casuali
  • Job cron sospetti che si avviano ogni minuto
  • Cartelle o file chiamati “authbypass-update”
  • Collegamenti in uscita a domini come woocommerce-services[.]com, woocommerce-api[.]com o woocommerce-help[.]com
  • Plugin sconosciuti o non visibili nella lista ufficiale di WordPress

Tuttavia, questi segnali potrebbero cambiare rapidamente perché gli hacker li modificano appena vengono scoperti. È fondamentale non affidarsi solo a controlli automatizzati, ma monitorare regolarmente attività insolite.

Best practice e consigli per difendersi

1. Non fidarti mai delle email che chiedono aggiornamenti urgenti

  • Diffida da ogni messaggio che invita ad aggiornare plugin tramite link o allegati.
  • Controlla sempre il dominio del mittente e cerca omografi (woocommėrce ≠ woocommerce).

2. Aggiorna plug-in e WordPress solo dal repository ufficiale

  • Scarica sempre aggiornamenti dal sito WordPress.org o dal pannello ufficiale di WooCommerce.
  • Evita di installare zip o plugin ricevuti via email.

3. Implementa autenticazione a due fattori (2FA)

  • Obbliga 2FA per ogni account amministratore del sito.
  • Questo riduce notevolmente il rischio di accessi non autorizzati anche in caso di furto credenziali.

4. Monitora gli account amministrativi

  • Verifica regolarmente i profili amministratore e rimuovi quelli sconosciuti o sospetti.
  • Usa plugin di sicurezza che notificano la creazione di nuovi account.

5. Controlla i job cron e le richieste in uscita

  • Accedi via SSH o usa plugin di monitoring per identificare job cron insoliti.
  • Filtra e monitora le richieste esterne verso domini non riconosciuti.

6. Esegui backup giornalieri e testali

  • Mantieni una copia aggiornata del sito e del database.
  • Verifica la possibilità di ripristinare un backup senza sovrascrivere file compromessi.

7. Installa plugin di sicurezza affidabili

  • Utilizza strumenti come Wordfence, Sucuri o Patchstack per monitorare e proteggere il sito.
  • Attiva la scansione automatica di file, plugin e tema.

8. Formazione continua del personale

  • Forma chi gestisce il sito su tecniche di phishing ed analisi dei segnali di compromissione.
  • Aggiorna le policy di sicurezza informatica dell’azienda.

Come intervenire in caso di infezione

Se sospetti che il tuo WooCommerce sia stato compromesso:

  1. Isola immediatamente il sito: mettilo offline per evitare ulteriori danni.
  2. Elimina gli account amministratori sospetti: verifica e rimuovi quelli non autorizzati.
  3. Cerca ed elimina file e plugin sconosciuti: soprattutto in wp-content/uploads e tra i job cron.
  4. Cambia tutte le password: di WordPress, database, FTP e hosting.
  5. Ripristina un backup pulito: solo dopo aver verificato che sia libero da infezioni.
  6. Contatta un esperto di sicurezza: può aiutare a bonificare a fondo la piattaforma e a rafforzarne la protezione.
  7. Comunica agli utenti eventualmente coinvolti: se vi è stato furto di dati sensibili, informa tempestivamente i clienti in ottemperanza al GDPR.

La sicurezza di WooCommerce e in generale delle piattaforme WordPress è una responsabilità costante. L’ondata di attacchi che sfrutta la paura delle vulnerabilità per distribuire patch false dimostra quanto sia fondamentale essere sempre vigili e adottare standard elevati di sicurezza.

Controlla regolarmente il tuo sito, forma il personale, usa solo fonti ufficiali per aggiornamenti e backup e investi in soluzioni di sicurezza professionali. Solo così è possibile ridurre al minimo i rischi e garantire la continuità del tuo business online.

Ricorda: la migliore difesa è la prevenzione. Non lasciare la sicurezza del tuo e-commerce al caso!

Fonte: https://www.bleepingcomputer.com/news/security/woocommerce-admins-targeted-by-fake-security-patches-that-hijack-sites

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto