虚假安全补丁攻击 WooCommerce 管理员以劫持网站

一场大规模钓鱼攻击正针对WooCommerce用户，虚假通过伪造安全警报诱使他们下载所谓的安全"关键补丁" ，实则为植入WordPress后门的补丁恶意程序。

恶意插件植入

根据Patchstack研究人员发现
，攻击e管上当受骗的劫持用户在下载更新时，实际上安装的网站是恶意插件 。该插件会：

在网站上创建隐藏管理员账户下载Web Shell攻击载荷维持持久性访问权限

此次攻击似乎是虚假2023年末类似攻击的延续，建站模板当时攻击者同样以虚构漏洞的安全虚假补丁针对WordPress用户
 。研究人员指出
，补丁两次攻击使用了相同的攻击e管Web Shell组合、完全一致的劫持载荷隐藏方法以及相似的邮件内容
。

伪造安全警报

攻击者伪装成WooCommerce官方，网站使用"help@security-woocommerce[.]com"地址向网站管理员发送钓鱼邮件
。虚假邮件声称收件人网站正面临"未授权管理访问"漏洞攻击，安全并附带"立即下载补丁"按钮和详细安装指南。补丁

邮件内容节选
： "我们在2025年4月14日发现WooCommerce平台存在关键安全漏洞...4月21日的高防服务器最新安全扫描确认该漏洞直接影响您的网站...强烈建议您立即采取措施保护商店和数据安全。"

针对WooCommerce用户的钓鱼邮件来源：Patchstack

同形异义字攻击

点击"下载补丁"按钮会跳转至高度仿冒WooCommerce的恶意网站"woocommėrce[.]com"。攻击者使用立陶宛字符"ė"(U+0117)替代字母"e" ，实施同形异义字攻击，这种细微差别极易被忽视 。

仿冒WooCommerce平台的恶意网站来源：Patchstack

感染后活动

受害者安装了虚假的安全修复程序（“authbypass-update-31297-id.zip”）后
，该程序会创建一个随机命名的定时任务（cronjob），亿华云每分钟运行一次，试图创建一个新的管理员级别用户。

接下来 ，该插件会通过向 “woocommerce-services [.] com/wpapi” 发送 HTTP GET 请求来注册受感染的网站 ，并获取第二阶段经过混淆处理的有效载荷 。进而在 “wp-content/uploads/” 目录下安装多个基于 PHP 的网页后门，包括 P.A.S.-Form、p0wny 和 WSO。

Patchstack 评论称，源码下载这些网页后门可让人完全控制网站，可能被用于广告注入、将用户重定向到恶意网站
 、让服务器加入分布式拒绝服务攻击（DDoS）僵尸网络、窃取支付卡信息，或者执行勒索软件来加密网站并向网站所有者敲诈勒索。

为了逃避检测，该插件会将自身从可见的插件列表中移除，并且还会隐藏它创建的恶意管理员账户。

Patchstack 建议网站所有者仔细检查那些名称为 8 个字符的随机名称的模板下载管理员账户
、不寻常的定时任务 、名为 “authbypass-update” 的文件夹，以及向 woocommerce-services [.] com、woocommerce-api [.] com 或 woocommerce-help [.] com 发出的出站请求 。

不过 ，一旦这些威胁指标通过公开研究曝光，威胁行为者通常会更改所有这些指标，所以务必不要依赖于小范围的扫描。香港云服务器