Una campaña de phishing a gran escala está atacando y vulnerando la seguridad a usuarios de WooCommerce mediante el envío de alertas de seguridad falsas. Estas comunicaciones fraudulentas instan a los administradores de sitios WordPress a descargar un supuesto «parche crítico» de seguridad. Sin embargo, al hacerlo, las víctimas instalan sin saberlo un complemento malicioso que agrega puertas traseras a sus páginas web, comprometiendo la integridad y seguridad de sus negocios en línea.
La amenaza fue descubierta por los investigadores de Patchstack, quienes advierten que esta operación parece ser una continuación de una campaña similar detectada a finales de 2023. Ambas campañas comparten un conjunto particular de web shells, técnicas idénticas de ocultación de cargas útiles y un patrón similar en los correos electrónicos de phishing enviados.
Cómo funciona la falsa alerta de seguridad de WooCommerce
Los correos electrónicos de phishing se presentan como comunicaciones legítimas de WooCommerce, usando la dirección falsificada ‘help@security-woocommerce[.]com‘. El mensaje informa a los destinatarios de que sus tiendas han sido objetivo de un supuesto ataque de acceso administrativo no autenticado, instándolos a tomar medidas inmediatas para proteger sus datos.
Los correos detallan:
-
La detección de una «vulnerabilidad crítica» en WooCommerce el 14 de abril de 2025.
-
Un «análisis de seguridad» realizado el 21 de abril de 2025 que supuestamente confirma la afectación directa al sitio del destinatario.
-
Una recomendación urgente para descargar e instalar un parche de seguridad a través de un botón incorporado.
El mensaje busca generar un sentido de urgencia para que los administradores actúen rápidamente, sin verificar la legitimidad del aviso.
.jpg)
Correo electrónico de phishing dirigido a usuarios
de WooCommerce Fuente: Patchstack
Técnica de suplantación: ataques homógrafos
Al hacer clic en el enlace de descarga, las víctimas son redirigidas a un sitio que imita perfectamente el sitio oficial de WooCommerce, pero utiliza un dominio engañoso: ‘woocommėrce[.]com‘. Este dominio emplea un ataque homógrafo, sustituyendo la letra «e» por la letra lituana «ė» (Unicode U+0117), una diferencia que a simple vista pasa desapercibida para la mayoría de los usuarios.
Esta técnica de suplantación demuestra un nivel avanzado de ingeniería social, aumentando la probabilidad de que incluso administradores experimentados caigan en la trampa.
.jpg)
Sitio web malicioso que imita la plataforma
WooCommerce Fuente: Patchstack
Consecuencias de instalar el parche falso
Al instalar el archivo malicioso ‘authbypass-update-31297-id.zip‘, el sitio WordPress de la víctima se ve inmediatamente comprometido. El complemento realiza varias acciones peligrosas:
-
Crea un cronjob con un nombre aleatorio que se ejecuta cada minuto para intentar añadir un nuevo usuario administrador oculto.
-
Se conecta a un servidor malicioso (‘woocommerce-services[.]com/wpapi‘) para descargar cargas útiles adicionales.
-
Instala web shells como P.A.S.-Form, p0wny y WSO en el directorio ‘wp-content/uploads/‘, proporcionando a los atacantes un control total del sitio comprometido.
Estos web shells permiten a los atacantes:
-
Injectar anuncios maliciosos.
-
Redirigir tráfico a páginas fraudulentas.
-
Robar información de pago de los usuarios.
-
Reclutar el servidor para botnets DDoS.
-
Implementar ransomware para cifrar el sitio y extorsionar al propietario.
Además, el plugin malicioso oculta tanto el propio complemento como las cuentas de administrador fraudulentas creadas, dificultando su detección.
Cómo detectar si tu sitio ha sido comprometido
Patchstack recomienda a los propietarios de sitios web que verifiquen los siguientes indicadores de compromiso:
-
Cuentas de administrador con nombres aleatorios de 8 caracteres.
-
Cronjobs desconocidos o inusuales en la configuración del servidor.
-
Una carpeta llamada ‘authbypass-update‘ en el directorio del sitio.
-
Solicitudes salientes a los dominios sospechosos: ‘woocommerce-services[.]com‘, ‘woocommerce-api[.]com‘ o ‘woocommerce-help[.]com‘.
No obstante, los investigadores advierten que los actores de amenazas suelen cambiar estos indicadores una vez que se hacen públicos. Por tanto, no se debe confiar únicamente en escaneos de alcance limitado o listas negras de dominios conocidas.
Recomendaciones de seguridad para proteger tu WordPress
Dada la sofisticación de esta campaña de phishing contra WooCommerce, es crucial seguir buenas prácticas de seguridad en WordPress:
-
No instales actualizaciones ni parches desde enlaces proporcionados en correos electrónicos no verificados.
-
Accede siempre a WooCommerce y otros servicios mediante sus sitios web oficiales.
-
Habilita autenticación de dos factores para el acceso al panel de administración.
-
Realiza auditorías periódicas de usuarios, cronjobs y plugins instalados.
-
Mantén copias de seguridad actualizadas de tu sitio web para poder restaurarlo en caso de compromiso.
La rápida identificación y eliminación de amenazas como estas puede marcar la diferencia entre una molestia menor y una catástrofe empresarial.
En conclusión, la suplantación de WooCommerce en campañas de phishing representa una amenaza grave para sitios WordPress. Los atacantes buscan explotar la confianza de los administradores para instalar backdoors y controlar por completo los servidores comprometidos.
La educación en ciberseguridad, combinada con una vigilancia constante y el uso de prácticas de actualización seguras, son esenciales para protegerse contra estas campañas cada vez más elaboradas.
Si utilizas WooCommerce, mantente siempre alerta ante correos inesperados y actualiza tus sistemas exclusivamente a través de los canales oficiales.
Fuente: Bleeping Computer
