Phát hiện chiến dịch khai thác lỗ hổng bảo mật trên các Plugin WordPress để đặt Backdoor
Một nhóm tin tặc đang tiến hành chiến dịch khai thác các lỗ hổng bảo mật tồn tại trong hơn 10 plugin WordPress nhằm tiến hành cài đặt cửa hậu (backdoor) và tạo các tài khoản quản trị giả mạo trong các website WordPress.
Phát hiện chiến dịch khai thác lỗ hổng bảo mật trên các Plugin WordPress để đặt Backdoor - CyberSec365.org |
Chiến dịch tấn công này được cho là đã được bắt đầu từ tháng 8/2019. Trong các cuộc tấn công trước đây, tin tặc đã tiến hành khai thác các lỗ hổng bảo mật tồn tại trong các plugin WordPress để phát tán mã độc lên các website bị nhắm mục tiêu. Một khi xâm nhập vào website, mã độc này sẽ tiến hành hiển thị quảng cáo popup hoặc chuyển hướng người dùng đến các website khác nhau.
Tuy nhiên, cách đây 2 tuần, nhóm tin tặc đứng sau các cuộc tấn công này đã thay đổi chiến thuật của mình. Theo Mikey Veenstra, một nhà phân tích an ninh mạng thuộc công ty an ninh mạng Defiant cho biết kể từ ngày 20/8/2019, nhóm tin tặc đã thay đổi mã độc để phát tán vào các website trong các cuộc tấn công.
Thay vì chỉ chèn các cửa sổ bật lên và chuyển hướng, mã độc cũng chạy một chức năng để kiểm tra xem khách truy cập trang có khả năng tạo tài khoản người dùng trên trang hay không, một tính năng chỉ khả dụng cho tài khoản quản trị viên WordPress.
Cụ thể hơn, mã độc này sẽ chờ quản trị viên đăng nhập vào website của mình. mã độc sẽ tiến hành tạo một tài khoản quản trị viên mới có tên wpservice, sử dụng địa chỉ email wpservice@yandex.com và mật khẩu w0rdpr3ss.
Theo Veenstra, các cuộc tấn công gần đây đang nhắm vào các lỗ hổng bảo mật nằm trong các plugin sau:
- Bold Page Builder
- Blog Designer
- Live Chat with Facebook Messenger
- Yuzo Related Posts
- Visual CSS Style Editor
- WP Live Chat Support
- Form Lightbox
- Hybrid Composer
- Tất cả các Plugins của NicDark (nd-booking, nd-travel, nd-learning, ......)
Để không trở thành nạn nhân của các cuộc tấn công này, người dùng cần nhanh chóng cập nhật các plugins của mình lên phiên bản mới nhất. Sau đó, quản trị viên cũng nên kiểm tra lại thông tin user trên hệ thống. Nếu phát hiện có bất kỳ user lạ nào, cần xóa bỏ ngay lập tức.
Không có nhận xét nào