Beheerders WordPress-webwinkels doelwit van gerichte phishingaanval

[Captain Kirk]

Beheerders van op WordPress-gebaseerde webwinkels zijn het doelwit van een gerichte phishingaanval, zo laten Woocommerce en securitybedrijf Patchstack weten. Het gaat dan specifiek om webshops die van WooCommerce gebruikmaken. WooCommerce is een plug-in die van WordPress-sites een webwinkel maakt. De plug-in is op meer dan acht miljoen WordPress-sites geïnstalleerd.

De phishingaanval begint met een e-mail die van WooCommerce afkomstig lijkt en stelt dat er een kwetsbaarheid in het platform is ontdekt. Vervolgens laat het bericht weten dat het beveiligingslek ook in de website van de ontvanger aanwezig is. Om de website te beschermen wordt de ontvanger van de e-mail aangeraden een 'patch' te downloaden. De link in de e-mail wijst onder andere naar een domein genaamd 'woocommerce'. Daarbij gebruiken de aanvallers een accent op de 'e' om het domein legitiem te laten lijken.

De malafide website lijkt op die van WooCommerce en biedt een zip-bestand aan dat claimt een beveiligingsupdate te zijn. Gebruikers moeten de "update" zelf installeren en activeren. In werkelijkheid is het een malafide plug-in die zichzelf in de lijst van geïnstalleerde plug-ins verbergt. Daarnaast wordt een nieuwe beheerder aangemaakt waarmee de aanvallers toegang tot de website hebben. Ook wordt er een webshell op de webserver geïnstalleerd om toegang te behouden.

Woocommerce laat weten dat het bezig is om gebruikte phishingdomeinen offline te laten halen. Daarnaast adviseert het beheerders om updates alleen direct via het WordPress-dashboard of WooCommerce.com te installeren.

 

bron: https://www.security.nl