Beheerders WordPress-webwinkels doelwit van gerichte phishingaanval

In dit artikel:

Beheerders van webwinkels die gebruikmaken van de WooCommerce-plug-in voor WordPress worden geconfronteerd met een gerichte phishingcampagne. Hierbij ontvangen zij e-mails die zogenaamd van WooCommerce afkomstig zijn, waarin wordt gemeld dat er een kwetsbaarheid is gevonden op hun site en dat een beveiligingspatch nodig is. De e-mails bevatten een link naar een nagemaakte, misleidende website die sterk lijkt op de officiële van WooCommerce, waarbij het domein subtiel is aangepast door een accentteken toe te voegen om vertrouwen te wekken.

De aangeboden "patch" is in werkelijkheid een kwaadaardige plug-in die na installatie zichzelf verbergt in de lijst met geïnstalleerde plug-ins en een nieuwe beheerder aanmaakt, waardoor aanvallers toegang krijgen tot de webshop. Ook wordt een webshell geplaatst om blijvende controle over de server te verkrijgen. WooCommerce en het securitybedrijf Patchstack zijn bezig om de frauduleuze phishingdomeinen offline te laten halen en adviseren webshopbeheerders om updates uitsluitend via het officiële WordPress-dashboard of de WooCommerce-website te downloaden en installeren. Hiermee wordt geprobeerd verdere schade te voorkomen bij de miljoenen gebruikers van WooCommerce.