Dựa trên phân tích các bản sao lưu hàng ngày của hơn 400.000 máy chủ web, các nhà nghiên cứu Viện Công nghệ Georgia tìm thấy hơn 47.000 plugin độc hại được cài đặt trên gần 25.000 trang web WordPress. Hơn 94% trong số các plugin này vẫn đang tồn tại.
Khoảng 3.600 plugin độc hại được mua từ các “chợ” hợp pháp như CodeCanyon, Easy Digital Downloads và ThemeForest. Các nhà nghiên cứu cho biết, phần lớn các plugin này không sử dụng tính năng làm rối mã (obfuscation) để che giấu hành vi độc hại.
Dữ liệu được thu thập và phân tích trong vòng 8 năm, bắt đầu từ tháng 7/2012 đến tháng 7/2020. Kết quả cho thấy số lượng plugin độc hại được cài đặt liên tục tăng và đạt đỉnh vào tháng 3/2020.
Theo các nhà nghiên cứu, hacker mua mã nguồn của các plugin miễn phí phổ biến rồi chèn thêm mã độc và chờ người dùng áp dụng các bản cập nhật tự động. Đồng thời, hacker cũng mạo danh tác giả của plugin để phân phối phần mềm độc hại thông qua các plugin vi phạm bản quyền.
Các nhà nghiên cứu cũng cho biết, mặc dù các quản trị viên trang web tin tưởng vào các thị trường mua bán hợp pháp và đã chi tới 7,3 triệu USD cho các plugin trả phí. Tuy nhiên, việc mua các plugin từ các thị trường này chưa hẳn là an toàn tuyệt đối cho các trang web.
Để phân tích, các nhà nghiên cứu đã xây dựng một framework tự động nhằm phát hiện và theo dõi plugin độc hại, có tên gọi YODA. Framework này được triển khai dựa trên tập dữ liệu bao gồm 400.000 máy chủ web của nhà cung cấp dịch vụ sao lưu trang web CodeGuard.
Trong số các plugin độc hại đã được xác định, hơn 10.000 plugin được xác định là webshell và sử dụng kỹ thuật làm rối mã. Các nhà nghiên cứu cũng xác định kỹ thuật lây nhiễm plugin-to-plugin, trong đó một plugin độc hại lây nhiễm các plugin khác trên cùng một máy chủ web và sao chép hành vi của nó.
Hơn 40.000 plugin đã bị nhiễm sau khi được triển khai. Trong nhiều trường hợp, hacker đã lạm dụng cơ sở hạ tầng để chèn plugin độc hại vào các trang web, sau đó duy trì quyền truy cập vào các máy chủ web.
Các nhà nghiên cứu cũng phát hiện hơn 6.000 plugin mạo danh các plugin “sạch” tồn tại trên các thị trường hợp pháp. Để có thể lây lan nhiều trang web, hacker thường cung cấp tùy chọn dùng thử cho chủ sở hữu trang web, điều mà thường không có sẵn trong hầu hết các thị trường plugin trả phí.
Kết quả phân tích đã được báo cáo cho CodeGuard và hãng tiến hành khắc phục. Tuy nhiên, các nhà nghiên cứu cho rằng chỉ có 10% chủ sở hữu trang web tiến hành quá trình cài đặt và thiết lập lại các plugin trên trang web và hơn 12% trang web vẫn tồn tại plugin độc hại bất kể quản trị viên tiến hành quá trình cài đặt mới.
Nguyễn Thu
(Theo securityweek)
07:00 | 02/12/2021
14:00 | 03/06/2021
10:00 | 22/04/2024
09:00 | 14/04/2023
10:00 | 11/05/2020
09:00 | 02/04/2024
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024