Des pirates informatiques tentent de persuader les clients de WooCommerce d’installer un correctif malveillant pour une vulnérabilité inexistante, par le biais d’une campagne ciblée et d’apparence réaliste.
Les clients de WooCommerce doivent se méfier des courriels malveillants faisant état d’un problème de sécurité. Des pirates informatiques envoient des courriels prétendument au nom de WooCommerce lui-même, avertissant d’une vulnérabilité Unauthenticated Administrative Access. Cette vulnérabilité n’existe pas, mais décrit ironiquement exactement ce que les attaquants eux-mêmes cherchent à accomplir.
Page réaliste
Le courriel contient un lien vers une page d’apparence très réaliste, ressemblant au site officiel de WooCommerce. Le domaine woocommérce[.]com comporte un accent de trop, mais est par ailleurs bien déguisé. Le site contient une description de la vulnérabilité et un lien vers un prétendu correctif.
Via ce lien, les utilisateurs arrivent sur une page à nouveau d’apparence sûre, mais contrefaite, où ils téléchargent un plugin sous couvert d’un correctif. Le faux correctif demande diverses autorisations, que les administrateurs accorderont, pensant avoir affaire à un téléchargement officiel.
Accès complet
Après l’installation, les attaquants ont accès au site web de la victime via le plugin malveillant. Les criminels peuvent injecter du spam, afficher leurs propres publicités ou même rediriger les utilisateurs vers d’autres sites web. Le serveur hébergeant le site peut également être exploité dans un botnet, ou être chiffré.
Avec leur campagne, les attaquants exploitent habilement la crainte légitime des utilisateurs vis-à-vis des failles de sécurité. L’urgence qu’ils créent avec la vulnérabilité fictive peut inciter les administrateurs à réagir trop rapidement et à négliger les détails révélateurs de la supercherie. La vigilance est, comme toujours, de mise, tout comme la mise à jour des systèmes, mais exclusivement avec de véritables correctifs.