Diciamo sempre che occorre essere veloci quando arrivano gli aggiornamenti ma questa patch di WooCommerce in realtà devi proprio lasciarla perdere: ecco cosa sta succedendo.
Quando si è proprietari di un sito web raccomandiamo sempre di mantenere tutto nella versione più recente e aggiornata possibile.
Per questo ricordiamo quando vanno per esempio installati gli aggiornamenti di WordPress e rammentiamo a tutti che va monitorato anche lo stato di tutti i plugin che si utilizzano.
Questo perché gli sviluppatori degli elementi che utilizziamo ogni giorno per costruire siti con WordPress lavorano soprattutto per far sì che quello che offrono agli utenti sia sicuro e quindi a prova di hacker.
Stavolta però il consiglio è quello di non fare nulla e di non installare la patch di WooCommerce che invece ti viene offerta. Vediamo perché e che cosa rischi.
Questa patch di WooCommerce in realtà è un’arma
Il messaggio di allarme si è sparso rapidamente online, come sempre succede (e viene da dire per fortuna) quando si tratta di attacchi informatici, soprattutto perché essere tempestivi significa mettere al sicuro il maggior numero possibile di siti web potenzialmente attaccabili dai criminali informatici.
Stavolta l’allarme è arrivato da Patchstack, uno dei punti di riferimento quando si tratta di sicurezza dei plugin e degli elementi di WordPress.
Come spiegano gli esperti di Patchstack, siamo di fronte a una riedizione di un comportamento malevolo che si era già visto a dicembre del 2023; stavolta però a quanto pare il sistema è un po’ più sofisticato anche se nella base rimane lo stesso.
Quello che tanti utenti stanno ricevendo è un messaggio attraverso una email che invita a scaricare una patch di WooCommerce che dovrebbe servire a chiudere una falla nella sicurezza.
Il messaggio è talmente tanto ben studiato da raccontare anche quella che dovrebbe essere la fantomatica breccia che potrebbe aprirsi se la patch non venisse installata.
Il linguaggio utilizzato è quello classico che viene usato anche sui portali che si occupano di monitorare la sicurezza dei plugin. Lo abbiamo visto molte volte quando abbiamo parlato delle reali minacce che si trovano nei plugin.
Per questo la campagna di phishing è stata valutata come estremamente pericolosa dato che non cerca di trarre in inganno utenti poco accorti con premi o problemi vaghi, ma tenta di superare anche le remore di quelli che sono un po’ più esperti e che quindi sanno che cosa significa vulnerabilità e che cosa significa quando il proprio sito è esposto e potenzialmente attaccabile.
Se si clicca sul link che consente di scaricare la fantomatica patch di WooCommerce, quello che succede in realtà è che si installa un malware che crea un nuovo account amministratore.
Una volta che viene creato questo nuovo account amministratore che ovviamente è alla mercé dei criminali che hanno architettato l’attacco, il sito può essere utilizzato per portare avanti altre tipologie di attacco.
E l’attacco è talmente tanto ben studiato che la pagina su cui si viene mandati a scaricare la patch assomiglia in tutto e per tutto alla pagina ufficiale di WooCommerce.
C’è però un piccolo dettaglio che consente di riconoscere il sito per il pericolo che in realtà è, dato che i criminali informatici non hanno potuto utilizzare un dominio che fosse quello autentico woocommerce.com: hanno dovuto creare qualcosa che ci assomigliasse, ma al posto di una delle “e” c’è una “è”.
Questi sono quei dettagli cui neanche il criminale informatico più bravo può sottrarsi proprio perché, una volta che viene creato un dominio, non è possibile creare un indirizzo che sia in tutto e per tutto totalmente identico.
