Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch tấn công mạng mới nhắm vào các trang web WordPress, bằng cách ngụy trang phần mềm độc hại thành một plugin bảo mật.
.png)
Plugin này có tên là “WP-antymalwary-bot[.]php” đi kèm nhiều tính năng để duy trì quyền truy cập, ẩn mình khỏi bảng điều khiển quản trị và thực thi mã từ xa. Một số tên gọi khác được sử dụng cho plugin này như sau: addons[.]php, wpconsole[.]php, wp-performance-booster[.]php, scr[.]php.
Sau khi cài đặt và kích hoạt, phần mềm độc hại cung cấp cho kẻ tấn công quyền truy cập quản trị vào bảng điều khiển và sử dụng REST API để tạo điều kiện thực thi mã từ xa, bằng cách đưa mã PHP độc hại vào tệp header của chủ đề trang web, hoặc xóa cache của các plugin cache phổ biến.
Theo các nhà nghiên cứu, Plugin cung cấp quyền truy cập quản trị viên ngay lập tức cho các tác nhân đe dọa thông qua hàm emergency_login_all_admins, hàm này sử dụng tham số GET emergency_login để cho phép kẻ tấn công có được quyền truy cập quản trị viên vào bảng điều khiển.
Phiên bản mới của phần mềm độc hại bao gồm những thay đổi đáng chú ý về cách xử lý việc chèn mã, lấy JavaScript được lưu trữ trên một tên miền bị xâm phạm khác để phục vụ quảng cáo hoặc thư rác. Plugin này cũng được bổ sung thêm tệp wp-cron[.]php độc hại, có khả năng tự động tạo lại và kích hoạt lại mã độc khi truy cập trang web tiếp theo, nếu nó bị xóa khỏi thư mục plugin.
Hiện tại vẫn chưa rõ các trang web bị xâm phạm như thế nào để phân phối phần mềm độc hại hoặc ai là người đứng sau chiến dịch này. Tuy nhiên, sự hiện diện của các bình luận và tin nhắn bằng tiếng Nga có thể chỉ ra rằng những kẻ đe dọa là người nói tiếng Nga.
Tiết lộ này được đưa ra khi hãng bảo mật Sucuri (Mỹ) trình bày chi tiết về chiến dịch Skimmer Web sử dụng tên miền phông chữ giả có tên “italicfonts[.]org” để hiển thị biểu mẫu thanh toán giả mạo trên các trang thanh toán, đánh cắp thông tin đã nhập và truyền dữ liệu đến máy chủ của kẻ tấn công.
Một cuộc tấn công khác được Sucuri xem xét liên quan đến việc nhắm mục tiêu vào các cổng thương mại điện tử Magento bằng phần mềm độc hại JavaScript được thiết kế để thu thập nhiều thông tin nhạy cảm.
“Phần mềm độc hại này lợi dụng tệp ảnh GIF giả, dữ liệu sessionStorage của trình duyệt cục bộ và làm thay đổi lưu lượng truy cập trang web bằng máy chủ reverse proxy độc hại để tạo điều kiện cho việc đánh cắp dữ liệu thẻ tín dụng, thông tin đăng nhập, cookie và các dữ liệu nhạy cảm khác từ trang web bị xâm phạm”, nhà nghiên cứu bảo mật Ben Martin cho biết.
Trên thực tế, tệp GIF là một tập lệnh PHP hoạt động như một reverse proxy, bằng cách nắm bắt các request đến và sử dụng nó để thu thập thông tin cần thiết khi người dùng truy cập trang web truy cập vào trang thanh toán.
Kẻ tấn công cũng được phát hiện đã chèn mã Google AdSense vào ít nhất 17 trang web WordPress ở nhiều nơi khác nhau, với mục đích phân phối quảng cáo không mong muốn và tạo doanh thu theo mỗi lần nhấp hoặc mỗi lần hiển thị.
“Các tin tặc đang cố gắng sử dụng tài nguyên của trang web của bạn để tiếp tục phục vụ quảng cáo và tệ hơn, chúng có thể đánh cắp doanh thu quảng cáo của bạn nếu bạn tự sử dụng AdSense”, nhà nghiên cứu bảo mật Puja Srivastava cho biết.
Không chỉ có vậy, xác minh CAPTCHA giả mạo được thực hiện trên các trang web bị xâm phạm đã được phát hiện là đánh lừa người dùng tải xuống và thực thi các backdoor dựa trên Node[.]js để thu thập thông tin hệ thống, cấp quyền truy cập từ xa và triển khai Trojan truy cập từ xa (RAT), được thiết kế để chuyển lưu lượng truy cập độc hại qua proxy SOCKS5.
Nhà nghiên cứu bảo mật Reegun Jayapaul cho biết: “Tập lệnh JS được nhúng sau khi quá trình lây nhiễm được thiết kế như một backdoor đa chức năng có khả năng do thám hệ thống chi tiết, thực thi lệnh từ xa, tạo đường hầm cho lưu lượng mạng (proxy SOCKS5) và duy trì quyền truy cập bí mật, liên tục”.
Theo antoanthongtin.vn
