นักวิจัยด้านความปลอดภัยไซเบอร์เตือนภัยเกี่ยวกับแคมเปญฟิชชิ่งขนาดใหญ่ที่กำลังมุ่งเป้าโจมตีผู้ใช้งาน WooCommerce โดยใช้กลอุบายแจ้งเตือนด้านความปลอดภัยปลอม อ้างให้ผู้ดูแลระบบดาวน์โหลด “แพตช์สำคัญ” เพื่ออุดช่องโหว่ แต่แท้จริงแล้วเป็นการติดตั้ง backdoor ที่ใช้เข้าควบคุมเว็บไซต์อย่างลับๆ โดยบริษัท Patchstack ซึ่งเชี่ยวชาญด้านความปลอดภัยของ WordPress ระบุว่า กิจกรรมนี้มีความซับซ้อนและเป็นรูปแบบใหม่ของการโจมตีที่เคยพบในช่วงปลายปี 2023 โดยใช้เทคนิคการปลอมแปลงช่องโหว่ (CVE) เพื่อหลอกลวงผู้ดูแลระบบเว็บไซต์
แผนการโจมตีเริ่มต้นจากการส่งอีเมลฟิชชิ่งที่อ้างว่าพบช่องโหว่ “Unauthenticated Administrative Access” (ซึ่งไม่มีอยู่จริง) และล่อให้เหยื่อคลิกลิงก์ไปยังเว็บไซต์ปลอมที่ใช้เทคนิค IDN Homograph ปลอมตัวให้เหมือนเว็บทางการของ WooCommerce โดยเฉพาะการใช้ตัวอักษรพิเศษ “ė” แทน “e” ในชื่อโดเมน เช่น “woocommėrce[.]com” เมื่อเหยื่อหลงเชื่อและดาวน์โหลดไฟล์ ZIP ที่แนบมา (“authbypass-update-31297-id[.]zip”) และติดตั้งเป็นปลั๊กอิน WordPress ระบบจะดำเนินการสร้างบัญชีผู้ดูแลระบบใหม่แบบซ่อนชื่อ ส่งข้อมูลบัญชีออกไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตี และดาวน์โหลดเพย์โหลดระยะต่อไปเพื่อแฝงเว็บเชลล์หลายชนิด เช่น P.A.S.-Fork, p0wny และ WSO โดยยังซ่อนปลั๊กอินและบัญชีแอดมินปลอมจากการมองเห็นอีกด้วย
ผลกระทบของการติดมัลแวร์ดังกล่าวทำให้ผู้โจมตีสามารถควบคุมเว็บไซต์จากระยะไกล เช่น ฝังโฆษณาสแปม เปลี่ยนเส้นทางผู้เยี่ยมชมไปยังเว็บไซต์หลอกลวง นำเซิร์ฟเวอร์ที่ติดมัลแวร์ไปเป็นส่วนหนึ่งของ botnet เพื่อทำการโจมตีแบบ DDoS หรือแม้แต่เข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ ผู้เชี่ยวชาญแนะนำให้ผู้ดูแลระบบ WordPress และ WooCommerce ตรวจสอบเว็บไซต์โดยละเอียดเพื่อค้นหาปลั๊กอินที่ผิดปกติหรือบัญชีผู้ดูแลระบบที่ไม่รู้จัก และอัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอเพื่อป้องกันการโจมตีในลักษณะนี้
แหล่งข่าว https://thehackernews.com/2025/04/woocommerce-users-targeted-by-fake.html
ที่มา : thaicert / วันที่เผยแพร่ 28 เมษายน 2568
Link : https://shorturl.at/rba3B
