Un administrador fantasma en tu WordPress: cómo los parches falsos toman el control de sitios WooCommerce

Especialistas de la empresa Patchstack han revelado una campaña de phishing a gran escala dirigida a usuarios de la plataforma WooCommerce. Los delincuentes envían notificaciones de seguridad falsas, instando a los propietarios de sitios a instalar una "actualización crítica" que, en realidad, introduce una puerta trasera en el sistema WordPress.

El esquema de ataque se basa en la ingeniería social: administradores confiados, al descargar e instalar el supuesto parche importante, despliegan en realidad un plugin malicioso. El programa crea una cuenta oculta con derechos de administrador, carga shells web y garantiza acceso permanente al sitio comprometido.

Según los investigadores, la campaña actual es una continuación de una operación similar realizada a finales de 2023. En aquella ocasión, los estafadores también atacaron usuarios de WordPress mediante parches falsos para una vulnerabilidad inexistente. Los analistas destacan patrones similares: un conjunto inusual de shells web, métodos idénticos para ocultar la carga maliciosa y textos de correos electrónicos parecidos.

Los mensajes provienen de la dirección help@security-woocommerce[.]com y advierten que el sitio del destinatario ha sufrido ataques de hackers que intentaron explotar una "vulnerabilidad de acceso administrativo no autorizado".

Para proteger la tienda online y los datos, los delincuentes proponen descargar una actualización a través de un botón integrado. El correo incluye instrucciones detalladas para la instalación y un mensaje alarmante: "Advertencia: nuestro último escaneo de seguridad del 21 de abril de 2025 confirmó que esta vulnerabilidad crítica afecta directamente a su sitio".

Al hacer clic en el botón "Descargar parche", la víctima es redirigida a una página falsa de WooCommerce. Los estafadores utilizan un dominio especialmente engañoso: woocommėrce[.]com, que se diferencia del oficial por un solo carácter —en lugar de la "e" latina, se emplea la letra lituana "ė" (U+0117). A simple vista, la diferencia es casi imperceptible.

Tras instalar el parche (archivo "authbypass-update-31297-id.zip"), se crea una tarea en el planificador con un nombre aleatorio. Esta tarea se ejecuta cada minuto e intenta crear un nuevo usuario con privilegios de administrador. Luego, el plugin registra el sitio comprometido mediante una solicitud HTTP GET al dominio woocommerce-services[.]com/wpapi y recibe una segunda fase de carga maliciosa encubierta.

Después, en el directorio wp-content/uploads/ se instalan varias shells PHP, incluyendo P.A.S.-Form, p0wny y WSO. Según los expertos, estas herramientas otorgan control total sobre el recurso. Los atacantes pueden insertar publicidad, redirigir a los usuarios a páginas maliciosas, integrar el servidor en botnets de DDoS, robar datos de tarjetas de pago o cifrar el contenido del sitio para pedir rescates. ¡Todo lo que la imaginación criminal permita!

Para ocultarse, el plugin malicioso se elimina de la lista de extensiones instaladas y oculta la cuenta de administrador creada. Patchstack aconseja a los propietarios de sitios verificar la presencia de señales sospechosas: cuentas administrativas con nombres aleatorios de 8 caracteres, tareas inusuales en el planificador, la carpeta authbypass-update y solicitudes salientes a los dominios woocommerce-services[.]com, woocommerce-api[.]com o woocommerce-help[.]com.

El informe enfatiza, sin embargo, que una vez que los indicadores de compromiso se hacen públicos, los ciberdelincuentes suelen cambiarlos. Por lo tanto, no basta con comprobar solo estas señales específicas.