WooCommerce Users Targeted by Fake Security Vulnerability Alerts
2025/04/25 gbhackers — WooCommerce ユーザーを標的とする、大規模なフィッシング・キャンペーンの存在を、Patchstack セキュリティ・チームが発見した。このキャンペーンは、きわめて洗練されたメールと Web ベースのフィッシング・テンプレートを用いて、Web サイト所有者を欺いていく。
このキャンペーンを背後で操る攻撃者は、WooCommerce インストールにおけるフェイク脆弱性である、”認証されていない管理アクセス” についてユーザーに警告し、悪意の Web サイトから偽パッチをダウンロードするよう促す。
巧妙なフィッシング・キャンペーンは公式アラートを模倣
このキャンペーンは、以前に報告された WordPress ユーザーに対する “偽 CVE” フィッシング攻撃と驚くほど類似し、ほとんど変わらないメール形式や、セキュリティをテーマとするメッセージ、マルウェア隠蔽の手法などが用いられている。したがって、そのときと同じグループによる実行が疑われ、さもなければ、その手法に大きく影響を受けたグループによる実行が示唆される。
このフィッシング・メールは公式の WooCommerce アラートを装うものであり、help@security-woocommerce[.]com という偽アドレスから送信され、ドメイン “woocommėrce[.]com” を用いる IDN ホモグラフ攻撃により、ユーザーを不正サイトへと誘導する。正規の WooCommerce マーケット・プレイスを模倣するために、正規の “e” が “ė” に置き換えられている点に注意してほしい。
悪意のペイロードと技術的な詳細
メール内の “Download Patch” ボタンをクリックすると、偽の WooCommerce マーケット・プレイス・ページへと移動し、”authbypass-update-31297-id.zip” という不正な ZIP ファイルをダウンロードするよう促される。
このファイルはプラグインとしてインストールされ、有効化されると、正規のWordPress フックの悪用により不正な活動を行うようになるが、それらの悪意のアクションは秘密裏に達成されていく。
このプラグインが有効化されると、WP Cron に “mergeCreator655” のような、ランダムな名前を持つ “cron” ジョブが作成され、難読化されたユーザー名とランダムなパスワードを持つ、隠し管理者アカウントの生成が毎分ごとに試行される。
その後に、新しい認証情報とサイト URL を取り込み base64 エンコードされたデータが、攻撃者が管理するサーバである “woocommerce-services[.]com/wpapi” へと、HTTP GET リクエスト経由で送信される。
さらに、このプラグインは “woocommerce-help[.]com/activate” や “woocommerce-api[.]com/activate” などのドメインから、追加の難読化されたペイロードをダウンロードし、”wp-content/uploads” 内の “wp-cached-<random string>” というディレクトリに、P.A.S.-Fork/p0wny/WSO などの複数の PHP ベースの Web シェルをインストールしていく。
これらのシェルにより、侵害されたサーバに対する、ほぼ完全な制御権が攻撃者に与えられ、広告の挿入/悪意のサイトへのリダイレクト/課金データの窃取/DDoS 攻撃の開始に加えて、サイトの暗号化やデータベース・バックアップの人質化による、ランサムウェアの展開といったエクスプロイトが可能になっていく。
Patchstack Report によると、このプラグインは WordPress プラグイン・リストから自身を隠し、不正な管理者アカウントを隠蔽することで検出を回避するという。
重要なことは、このキャンペーンでは、悪意のプラグインがダウンロード/インストールされない限り、脅威とはならない点である。
WordPress も WooCommerce も、手動でのパッチ・インストールを要求することはない。正規のアップデートは、常に公式チャネルを通じたバージョン・アップデートとしてリリースされる。
侵害の兆候として挙げられるのは、8文字のランダムなユーザー名/通常とは異なる cronjob 名/wp-content/plugins 内の authbypass-update のような疑わしいフォルダ/woocommerce-services[.]com のようなドメインへの送信リクエストなどである。
この詐欺行為の認知が広まるにつれ、攻撃者はセキュリティ・サービスやレジストラによるフラグ付けを回避するために、ドメイン名などのマーカーを変更し、適応していく可能性が高くなる。
Web サイト所有者に対して強く推奨されるのは、警戒を怠らず、緊急のセキュリティ修正を謳うメールを精査し、更新は公式ソースのみに頼るようすることであり、それにより、このような欺瞞的で有害なフィッシング攻撃から WooCommerce を守ることである。
WooCommerce のセキュリティ通知を装ったフィッシング・キャンペーンが確認されました。どんなメールであっても、本文中の URL は安易にクリックしないという意識が、必要になっています。さらに今月の初めには、WooCommerce などのオンラインストアを標的とする、別のサイバー攻撃も報告されています。よろしければ、以下の関連記事も、WooCommerceで検索/Phishing で検索と併せてご参照下さい。
2025/04/04:PyPI に悪意のパッケージ:クレカの有効性を検証
2025/04/03:Stripe API で Web スキミング:クレカ情報を窃取
IoT OT Security News 
You must be logged in to post a comment.