Hacker nhắm mục tiêu gần 1 triệu website WordPress

Hacker nhắm mục tiêu gần 1 triệu website WordPress

May 7, 2020 | vietsunshine

Một chiến dịch tấn công quy mô lớn đã nhắm mục tiêu hơn 900.000 trang web WordPress thông qua các lỗ hổng trong plugin và theme, công ty bảo mật WordPress Defiant tiết lộ trong tuần này.

Các cuộc tấn công ban đầu được phát hiện vào ngày 28 tháng 4, nhưng cho thấy một sự gia tăng lớn vào ngày 3 tháng 5, khi hơn nửa triệu trang web bị tấn công. Dường như đây là chiến dịch của một tổ chức duy nhất, chiến dịch này nhắm mục đích tiêm (inject) các trang web mục tiêu bằng JavaScript malicious được thiết kế để chuyển hướng khách truy cập đến các trang web quảng cáo độc hại.

Hacker đã đẩy mạnh hoạt động với hơn 20 triệu cuộc tấn công vào ngày 3 tháng Năm. Các nhà nghiên cứu phát hiện ra rằng, trong tháng qua, hơn 24.000 địa chỉ IP riêng biệt đã được sử dụng để tấn công hơn 900.000 trang web.

Các lỗ hổng được nhắm mục tiêu không phải là mới và cũng đã bị lạm dụng trong các cuộc tấn công trước đó. Các lỗ hổng được nhắm mục tiêu không phải là mới và cũng đã bị lạm dụng trong các cuộc tấn công trước đó. Chúng bao gồm các lỗ hổng Cross-Site Scripting (XSS) trong plugin Easy2Map (đã bị xóa khỏi kho lưu trữ WordPress vào tháng 8 năm 2019), Blog Designer (được vá vào năm 2019), Newspaper theme được vá vào năm 2016), các tùy chọn cập nhật các lỗi trong WP GDPR Compliance (được vá vào cuối năm 2018) và Total Donations (đã xóa vào đầu năm 2019).

“Mặc dù không dễ để hiểu tại sao những lỗ hổng này được nhắm mục tiêu, đây là một chiến dịch quy mô lớn có thể dễ dàng xoay vòng sang các mục tiêu khác,” theo Defiant.

Mã JavaScript mà kẻ tấn công cố gắng chèn vào các trang web được nhắm mục tiêu được đặt tại Count[.]Trackstatisticss[.]Com/stm và cũng kiểm tra xem nạn nhân có cài đặt cookie đăng nhập WordPress nào không. Những kẻ tấn công hy vọng rằng kịch bản sẽ được thực thi trong trình duyệt của quản trị viên.

Quản trị viên không đăng nhập và không ở trên trang đăng nhập sẽ được chuyển hướng đến một trang web quảng cáo độc hại. Mặt khác, tập lệnh cố gắng đưa một PHP backdoor độc hại vào header (tiêu đề)  của theme (chủ đề) hiện tại, với một JavaScript độc hại thứ hai.

Backdoor tải xuống một tải trọng khác từ https://stat[.]trackstatisticsss[.]com/n.txt và cố gắng thực hiện nó bằng cách đưa nó vào tiêu đề chủ đề.

“Phương pháp này sẽ cho phép kẻ tấn công duy trì quyền kiểm soát trang web, vì chúng có thể chỉ cần thay đổi nội dung của tệp tại https://stat[.]trackstatisticsss[.]com/n.txt để mã theo lựa chọn của họ có thể được sử dụng để nhúng webshell, tạo quản trị viên độc hại hoặc thậm chí xóa toàn bộ nội dung của trang web.”

Tải trọng cuối cùng được sử dụng trong cuộc tấn công này được thiết kế để bổ sung một biến thể của tập lệnh ban đầu cho mọi tệp JavaScript trên trang web, cũng như cho tất cả các tệp .htm, .html và .php có tên là “index”. Nó cũng kiểm tra lại trang web bị nhiễm cứ sau 6.400 giây và lây nhiễm lại nếu cần thiết.

Chủ sở hữu trang web nên cập nhật tất cả các plugin của họ và hủy kích hoạt và xóa các plugin đã bị xóa khỏi kho lưu trữ plugin WordPress, để đảm bảo trang web của họ được bảo vệ.

Nguồn: Nearly 1 Million WordPress Sites Targeted via Old Vulnerabilities

Xem thêm: Lỗ hổng nghiêm trọng trong 3 plugin học trực tuyến cho trang web WordPress

Tags: ,