Патчи фейковые — головная боль настоящая: в вашем WordPress поселился админ-призрак

Специалисты компании Patchstack раскрыли масштабную фишинговую кампанию, нацеленную на пользователей платформы WooCommerce. Злоумышленники рассылают поддельные уведомления о безопасности, призывая владельцев сайтов установить "критически важное обновление", которое на самом деле внедряет в систему WordPress бэкдор.

Схема атаки построена на социальной инженерии: доверчивые администраторы, скачивая и устанавливая якобы важный патч, фактически развертывают вредоносный плагин. Программа создает скрытую учетную запись с правами администратора, загружает веб-оболочки и обеспечивает постоянный доступ к зараженному сайту.

По данным исследователей, нынешняя кампания — продолжение аналогичной операции конца 2023 года . Тогда мошенники также атаковали пользователей WordPress, рассылая фальшивые патчи для несуществующей уязвимости. Аналитики отмечают схожие паттерны: необычный набор веб-оболочек, идентичные методы маскировки вредоносной нагрузки и похожий текст электронных писем.

Письма приходят с адреса help@security-woocommerce[.]com, а их содержание предупреждает: сайт получателя подвергся хакерским атакам с попытками эксплуатации уязвимости "неавторизованного административного доступа".

Для защиты интернет-магазина и данных злоумышленники предлагают загрузить обновление через встроенную кнопку. К письму прилагается пошаговая инструкция по установке. И для усиления добавляется: "Предупреждение: наше последнее сканирование безопасности от 21 апреля 2025 года подтвердило, что эта критическая уязвимость напрямую затрагивает ваш сайт".

При нажатии на кнопку "Скачать патч" жертва попадает на поддельную страницу WooCommerce. Мошенники используют особо коварный домен woocommėrce[.]com, который отличается от официального всего одним символом: вместо латинской "e" применяется литовская буква "ė" (U+0117). Конечно, разницу крайне сложно заметить невооруженным глазом.

После установки патча (файл "authbypass-update-31297-id.zip") создается задача в планировщике с произвольным именем. Она запускается каждую минуту, пытаясь создать нового пользователя с правами администратора. Затем плагин регистрирует зараженный сайт через HTTP GET-запрос к домену woocommerce-services[.]com/wpapi и получает второй этап замаскированной вредоносной нагрузки.

Далее в директорию wp-content/uploads/ устанавливаются несколько PHP-оболочек, включая P.A.S.-Form, p0wny и WSO. По оценке экспертов, эти инструменты предоставляют полный контроль над ресурсом. С их помощью злоумышленники могут внедрять рекламу, перенаправлять пользователей на вредоносные страницы, использовать сервер в DDoS-ботнетах, похищать данные платежных карт или шифровать содержимое сайта для вымогательства. Всё, что душе угодно!

Для маскировки вредоносный плагин удаляет себя из списка установленных расширений и скрывает созданную им учетную запись администратора. Команда Patchstack советует владельцам ресурсов проверять наличие подозрительных признаков: администраторских аккаунтов с случайными именами из 8 символов, необычных задач в планировщике, папки authbypass-update и исходящих запросов к доменам woocommerce-services[.]com, woocommerce-api[.]com или woocommerce-help[.]com.

При этом в отчете подчеркивается: как только индикаторы компрометации становятся достоянием общественности, киберпреступники обычно меняют их. Поэтому не стоит ограничиваться проверкой только этих конкретных признаков.