SO HUU TRI TUE
Thứ hai, 10/02/2025
  • Click để copy

Hơn 1 triệu trang web WordPress bị nhiễm mã độc

10:47, 12/04/2023
(SHTT) - Theo thehackernews, ước tính hơn 1 triệu website WordPress đã bị nhiễm phần mềm độc hại từ chiến dịch Balada Injector kể từ năm 2017.

Công ty bảo mật thuộc GoDaddy cho biết chiến dịch Balada Injector đã tận dụng lỗ hổng trong các plugin và giao diện (Themes) được phát hiện để tấn công các website WordPress vài tuần một lần.

Theo nhà nghiên cứu bảo mật Denis Sinegubko, chiến dịch này có thể dễ dàng phát hiện thông qua các đặc điểm như: sử dụng kỹ thuật String.from CharCode để ẩn mã, sử dụng các tên miền mới đăng ký để chứa các script độc hại trên các subdomain ngẫu nhiên, và chuyển hướng người dùng đến các trang web lừa đảo khác nhau.

Các trang web bị tấn công bao gồm hỗ trợ kỹ thuật giả, thông báo trúng thưởng giả mạo và các trang CAPTCHA lừa đảo yêu cầu người dùng bật thông báo để xác minh rằng họ không phải là robot, từ đó cho phép kẻ tấn công gửi quảng cáo rác.

Báo cáo này dựa trên các phát hiện gần đây của Doctor Web, nêu chi tiết về một 'gia đình' phần mềm độc hại cho Linux, khai thác các lỗ hổng trong hơn hai chục plugin và chủ đề để tấn công các trang web WordPress có lỗ hổng bảo mật.

Trong khoảng thời gian đó, Balada Injector đã sử dụng hơn 100 tên miền và nhiều cách khác nhau để khai thác các lỗ hổng bảo mật đã biết trước đó, như việc chèn mã HTML hay đường dẫn site URL. Những kẻ tấn công chủ yếu tập trung vào việc lấy thông tin đăng nhập cơ sở dữ liệu trong tệp wp-config.php.

Ngoài ra, các cuộc tấn công được thiết kế để đọc hoặc tải xuống các tệp trang web tùy ý (bao gồm các tệp sao lưu, cơ sở dữ liệu, tệp nhật ký và các tệp lỗi) cũng như tìm kiếm các công cụ như adminer và phpmyadmin có thể đã được để lại bởi quản trị viên trang web khi hoàn thành các nhiệm vụ bảo trì.

Screenshot 2023-04-11 at 21.42.00

 Lỗi bảo mật trên plugin và themes của WordPress

Phần mềm độc hại này cho phép tạo ra quản trị viên WordPress giả mạo, thu thập dữ liệu được lưu trữ trong các máy chủ dưới dạng lying hosts và tạo ra các cơ hội để truy cập vào hệ thống một cách liên tục.

Balada Injector tiếp tục tìm kiếm từ các thư mục cấp cao nhất, có liên quan đến hệ thống tệp của trang web bị tấn công nhằm xác định các thư mục có thể ghi được của các trang web khác.

Theo Sinegubko, các trang web này thường do quản trị viên của trang web bị xâm nhập sở hữu và cùng sử dụng một tài khoản máy chủ với các quyền truy cập vào các tệp tương tự. Như vậy, việc xâm nhập thành công một trang web có thể dẫn đến việc truy cập miễn phí vào một số trang web khác.

Screenshot 2023-04-11 at 21.42.12

 

Nếu những lối tấn công này không khả dụng, mật khẩu quản trị viên sẽ bị tấn công sau khi sử dụng một bộ 74 thông tin đăng nhập được định trước. Do đó, người dùng WordPress nên cập nhật phần mềm trang web của họ thường xuyên, gỡ bỏ các plugin và chủ đề không sử dụng và sử dụng mật khẩu mạnh để bảo vệ trang web khỏi những cuộc tấn công này.

Một số tin tức mới đây cho biết, các nhà nghiên cứu bảo mật phát hiện ra một chiến dịch tiêm mã độc JavaScript tương tự với chiến dịch trước đây của Palo Alto Networks Unit 42. Chiến dịch này chuyển hướng khách truy cập trang web đến các trang quảng cáo và lừa đảo. Từ năm 2022 đến nay, đã có hơn 51.000 trang web bị ảnh hưởng.

Để đánh lừa người dùng, các trang web độc hại đã sử dụng kỹ thuật che giấu String.fromCharCode để đưa nạn nhân đến các trang web nguy hiểm. Tại đó, nạn nhân bị lừa để kích hoạt thông báo đẩy bằng cách mô phỏng kiểm tra CAPTCHA giả mạo để cung cấp nội dung đánh lừa.

Các nhà nghiên cứu tại Unit 42 cho biết, "Mã JS độc hại đã được tiêm vào trang chủ của hơn một nửa số trang web phát hiện. Một chiến thuật chung được sử dụng bởi các nhà tấn công là tiêm mã JS độc hại vào các tên tệp JS được sử dụng thường xuyên (ví dụ: jQuery) có khả năng được bao gồm trên trang chủ của các trang web bị xâm nhập."

Điều này có thể giúp cho kẻ tấn công nhắm mục tiêu vào người dùng hợp pháp của trang web, vì họ có xu hướng truy cập vào trang chủ của trang web.

Đặng Trang

Tin khác

Tài sản trí tuệ 7 giờ trước
(SHTT) - Từ ngày 01/02/2025 đến ngày 05/02/2025, Đội QLTT số 5, Cục QLTT tỉnh Cao Bằng phối hợp các lực lượng chức năng kiểm tra, xử lý đối với 03 vụ việc, tạm giữ gần 3.000 kg lá cây thuốc lá sấy khô chưa tách cọng không rõ nguồn gốc, xuất xứ.
Tài sản trí tuệ 7 giờ trước
(SHTT) - Thực hiện Quyết định của Cục trưởng Cục QLTT tỉnh Hải Dương, Đội QLTT cơ động số 5 vừa làm thủ tục bàn giao vụ việc đối tượng kinh doanh 2.400 chai keo Apollo Silicone giả nhãn, bao bì hàng hóa cho Cơ quan Cảnh sát điều tra Công an tỉnh Hải Dương thụ lý, xem xét truy cứu trách nhiệm hình sự.
Tài sản trí tuệ 2 ngày trước
(SHTT) - Mới đây, nhãn hàng LG đã đưa ra thông báo thu hồi khoảng 500.000 chiếc bếp lò của hãng này sau khi liên quan đến hơn chục vụ hỏa hoạn và gây thương tích cho khách hàng.
Tài sản trí tuệ 3 ngày trước
(SHTT) - Theo TechCrunch, DeepSeek đã nộp đơn đăng ký nhãn hiệu lên Văn phòng Bằng sáng chế và Thương hiệu Mỹ (USPTO) vào cuối tháng 1 vừa qua, tuy nhiên khả năng cao hồ sơ này sẽ không được bảo hộ thành công do trước đó đã có một công ty khác đã nộp đơn đăng ký nhãn hiệu cùng tên.
Tài sản trí tuệ 4 ngày trước
(SHTT) - Sở Y tế Hà Nội vừa có thông báo đình chỉ lưu hành, thu hồi và tiêu hủy các lô sản phẩm Bzu Bzu Head-to-Toe Baby Wash và Revuele No Problem Facial Wash Gel TeaTree Oil do không đạt tiêu chuẩn chất lượng.
. ..