mã độc tấn công wordpress

Hơn 2000 trang web WordPress bị nhiễm Keylogger

January 30, 2018 | vietsunshine

Hơn 2.000 trang web WordPress đã một lần nữa bị phát hiện có chứa một phần của phần mềm độc hại khai thác mật mã, không chỉ đánh cắp tài nguyên máy tính của khách truy cập để đào các tiền ảo mà còn ghi lại mọi hành động của khách truy cập.

Các nhà nghiên cứu bảo mật tại Sucuri phát hiện ra một chiến dịch độc hại nhắm vào các trang web WordPress để đào tiền ảo bí mật trong trình duyệt từ CoinHive và một Keylogger.

Coinhive là một dịch vụ dựa trên trình duyệt phổ biến cung cấp cho các chủ trang web để nhúng một JavaScript để sử dụng CPU của khách truy cập nhằm mục đích đào tiền ảo Monero.

Các nhà nghiên cứu của Sucuri cho biết những đối tượng đứng sau chiến dịch mới này cũng chính là tác nhân của vụ việc gây ảnh hướng tới 5.400 website WordPress hồi tháng trước vì cả hai chiến dịch đều sử dụng keylogger/cryptocurrency malware có tên gọi là cloudflare[.]solutions.

Phát hiện vào tháng tư năm ngoái, Cloudflare[.]solutions là phần mềm độc hại để đào tiền ảo và không có liên quan đến công ty quản lý và an ninh mạng Cloudflare. Kể từ khi phần mềm độc hại sử dụng tên miền Cloudflare[.]solutions để phát tán, chiến dịch cũng đã được đặt tên này.

Phần mềm độc hại được cập nhật vào tháng 11  bao gồm một keylogger. Keylogger hoạt động giống như trong các chiến dịch trước đó và có thể ăn cắp cả trang đăng nhập quản trị của trang web và phần public của trang web.

mã độc tấn công wordpress 2

Nếu trang web WordPress bị nhiễm bệnh là nền tảng thương mại điện tử, tin tặc có thể ăn cắp nhiều dữ liệu có giá trị hơn, bao gồm dữ liệu thẻ thanh toán.

Tên miền cloudflare[.]solutions đã bị gỡ xuống tháng trước, nhưng tội phạm mạng phía sau chiến dịch đã đăng ký tên miền mới để lưu trữ các tập lệnh độc hại để có thể tải lên các trang web WordPress.

Các miền web mới đăng ký bởi tin tặc bao gồm cdjs [.]online (đăng ký vào ngày 8 tháng 12), cdns [.] ws (vào ngày 9 tháng 12) và msdns [.]online (ngày 16 tháng 12).

Cũng giống như trong chiến dịch cloudflare[.]solutions, cdjs[.]online script sẽ được lây nhiễm vào cơ sở dữ liệu WordPress hoặc tệp tin functions.php. Các cdns[.]ws và msdns[.]online scripts cũng được đưa vào functions.php.

Số lượng các trang web bị nhiễm cdns[.]ws là 129, với cdjs[.]online là 103, theo công cụ tìm kiếm mã nguồn PublicWWW, hơn 1000 trang web được báo cáo là đã bị nhiễm msdns[.]online.

“Mặc dù những cuộc tấn công mới này vẫn chưa gây hậu quả như chiến dịch Cloudflare[.]solutions, nhưng nghiên cứu cho thấy, nhiều các trang web đã không có  biện pháp bảo vệ sau sự cố, thậm chí họ không nhận biết được rằng website của mình đã bị tấn công”, các nhà nghiên cứu Sucuri kết luận.

Nếu trang web của bạn đã bị xâm nhập với các mã độc này, bạn cần xóa chúng khỏi năng của functions.php và scan wp_posts để kiểm tra.

Người dùng nên thay đổi tất cả mật khẩu WordPress và cập nhật tất cả các phần mềm máy chủ bao gồm các chủ đề và plugin.

Tags: , , ,