-
09/04/2020
-
95
-
771 bài viết
Plugin WordPress giả mạo cài mã độc, chèn quảng cáo và chiếm quyền quản trị từ xa
Một chiến dịch tấn công mới nhắm vào các trang WordPress thông qua plugin giả mạo có tên "WP-antymalwary-bot.php". Plugin này được ngụy trang như một công cụ bảo mật nhưng thực chất là phần mềm độc hại, cho phép kẻ tấn công chiếm quyền quản trị từ xa và thực thi mã độc trên trang web.
Plugin này còn có tên gọi khác: addons.php, wpconsole.php, wp-performance-booster.php, scr.php. Đi kèm với nhiều chức năng độc hại như:
Biến thể mới nhất đã thay đổi cơ chế chèn mã: JavaScript độc hại được tải từ một tên miền bị xâm nhập khác để phục vụ quảng cáo hoặc spam.
Ngoài ra, plugin còn được hỗ trợ bởi file wp-cron.php độc hại – có khả năng tự khôi phục và kích hoạt lại phần mềm độc hại sau mỗi lần người dùng truy cập nếu plugin bị xóa thủ công.
Hiện tại vẫn chưa rõ cách thức các trang web bị xâm nhập để triển khai phần mềm độc hại này hoặc ai đứng sau chiến dịch này.
Một chiến dịch tấn công khác, nhắm vào các nền tảng thương mại điện tử Magento, sử dụng mã độc JavaScript đa tầng để thu thập thông tin thanh toán, dữ liệu đăng nhập, cookie và nhiều dữ liệu nhạy cảm khác.
Theo chuyên gia bảo mật Ben Martin: "Phần mềm độc hại này sử dụng một file ảnh GIF giả, kết hợp với dữ liệu sessionStorage trong trình duyệt và một proxy ngược độc hại để đánh cắp dữ liệu người dùng".
File GIF này thực chất là một file PHP đóng vai trò như reverse proxy, ghi lại yêu cầu truy cập và thu thập thông tin khi người dùng truy cập trang thanh toán.
Kẻ tấn công cũng đã chèn mã Google AdSense vào ít nhất 17 trang WordPress nhằm phát quảng cáo không mong muốn và đánh cắp doanh thu quảng cáo. Nếu website của bạn cũng dùng AdSense, doanh thu sẽ bị chuyển về tài khoản của hacker thay vì tài khoản của chủ trang web đó.
Một hình thức tấn công khác nữa là CAPTCHA giả – dụ người dùng tải xuống và thực thi backdoor Node.js. Mã độc này cho phép:
Các chuyên gia khuyến nghị người dùng và các quản trị viên cần chú ý:
Plugin này còn có tên gọi khác: addons.php, wpconsole.php, wp-performance-booster.php, scr.php. Đi kèm với nhiều chức năng độc hại như:
- Ẩn khỏi giao diện quản trị viên.
- Gửi tín hiệu đến máy chủ điều khiển (C&C).
- Lây lan mã độc sang các thư mục khác và chèn JavaScript độc hại để hiển thị quảng cáo.
- Thực thi mã PHP từ xa thông qua REST API.
- Tự động phục hồi sau khi bị xóa nhờ vào tệp wp-cron.php độc hại.
Biến thể mới nhất đã thay đổi cơ chế chèn mã: JavaScript độc hại được tải từ một tên miền bị xâm nhập khác để phục vụ quảng cáo hoặc spam.
Ngoài ra, plugin còn được hỗ trợ bởi file wp-cron.php độc hại – có khả năng tự khôi phục và kích hoạt lại phần mềm độc hại sau mỗi lần người dùng truy cập nếu plugin bị xóa thủ công.
Hiện tại vẫn chưa rõ cách thức các trang web bị xâm nhập để triển khai phần mềm độc hại này hoặc ai đứng sau chiến dịch này.
Một chiến dịch tấn công khác, nhắm vào các nền tảng thương mại điện tử Magento, sử dụng mã độc JavaScript đa tầng để thu thập thông tin thanh toán, dữ liệu đăng nhập, cookie và nhiều dữ liệu nhạy cảm khác.
Theo chuyên gia bảo mật Ben Martin: "Phần mềm độc hại này sử dụng một file ảnh GIF giả, kết hợp với dữ liệu sessionStorage trong trình duyệt và một proxy ngược độc hại để đánh cắp dữ liệu người dùng".
File GIF này thực chất là một file PHP đóng vai trò như reverse proxy, ghi lại yêu cầu truy cập và thu thập thông tin khi người dùng truy cập trang thanh toán.
Kẻ tấn công cũng đã chèn mã Google AdSense vào ít nhất 17 trang WordPress nhằm phát quảng cáo không mong muốn và đánh cắp doanh thu quảng cáo. Nếu website của bạn cũng dùng AdSense, doanh thu sẽ bị chuyển về tài khoản của hacker thay vì tài khoản của chủ trang web đó.
Một hình thức tấn công khác nữa là CAPTCHA giả – dụ người dùng tải xuống và thực thi backdoor Node.js. Mã độc này cho phép:
- Thu thập thông tin hệ thống
- Cấp quyền truy cập từ xa
- Thiết lập trojan điều khiển từ xa (Node.js RAT)
- Truyền tải lưu lượng thông qua proxy SOCKS5
Các chuyên gia khuyến nghị người dùng và các quản trị viên cần chú ý:
- Người dùng nên kiểm tra và xóa ngay các plugin/file không rõ nguồn gốc hoặc đáng ngờ
- Xem xét dấu hiệu chèn mã lạ trong file header.php hoặc functions.php
- Cập nhật WordPress và các plugin lên phiên bản mới nhất
- Soát mã JavaScript tải từ các domain không rõ nguồn gốc
- Tạm thời vô hiệu hóa wp-cron.php nếu có nghi ngờ
Theo The Hacker News