Công ty cung cấp dịch vụ bảo mật toàn cầu Sucuri cho biết trong một báo cáo được công bố gần đây rằng biến thể gần đây nhất của phần mềm độc hại này được ước tính đã lây nhiễm không dưới 2.500 trang web chỉ trong 2 tháng qua.
Các cuộc tấn công liên quan đến việc chèn mã JavaScript độc hại vào các tiện ích và plugin HTML. Cụ thể, một đoạn mã JavaScript được mã hóa XOR sau đó được giải mã và sử dụng để thực thi tệp JavaScript được lưu trên máy chủ từ xa nhằm tạo điều kiện cho việc chuyển hướng đến hệ thống phân phối lưu lượng truy cập do VexTrio vận hành khi đáp ứng một số điều kiện nhất định.
Ngoài ra, phần mềm độc hại sử dụng tính năng ngẫu nhiên dựa trên thời gian để tải các URL động (dynamic URL) thay đổi cứ sau 10 phút để vượt qua danh sách chặn (blocklists). Các tên miền độc hại này được đăng ký vài ngày trước khi sử dụng trong các cuộc tấn công.
Nhà nghiên cứu bảo mật Ben Martin cho biết: “Một điểm đáng chú ý về mã độc này là nó đặc biệt tìm kiếm xem liệu người truy cập có đến từ các trang web lớn như Google, Facebook, Yahoo, Instagram,... hay không. Nếu trường referrer trong request của người dùng không khớp với các trang này thì phần mềm độc hại sẽ không được thực thi”. Sau đó, người truy cập trang web sẽ được chuyển hướng đến các trang lừa đảo khác bằng cách thực thi một mã JavaScript khác từ cùng một máy chủ.
Chiến dịch Sign1, được phát hiện lần đầu vào nửa cuối năm 2023, trong đó những kẻ tấn công đã lạm dụng 15 tên miền khác nhau kể từ ngày 31/7/2023. Các chuyên gia cho biết các trang web WordPress có thể đã bị xâm phạm thông qua tấn công brute-force (dò quét thông tin đăng nhập) hoặc bằng cách khai thác các lỗ hổng bảo mật trong plugin và theme để giành được quyền truy cập ban đầu.
Ben Martin cho biết: “Nhiều đoạn mã độc hại đã được phát hiện bên trong các tiện ích HTML tùy chỉnh của WordPress mà kẻ tấn công thêm vào các trang web bị xâm nhập. Những kẻ tấn công thường cài đặt một plugin JS và CSS tùy chỉnh hợp pháp và chèn thêm mã độc bằng cách sử dụng plugin này”. Cách tiếp cận không lưu vết bất kỳ mã độc nào trong các tệp của máy chủ cho phép phần mềm độc hại không bị phát hiện trong thời gian dài.
Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch độc hại như vậy, các quản trị viên WordPress cần đảm bảo sử dụng mật khẩu mạnh và áp dụng các biện pháp bảo mật bổ sung để bảo vệ thông tin đăng nhập cho các tài khoản, đồng thời thường xuyên kiểm tra và cập nhật phiên bản mới nhất cho các plugin/theme để tránh bị xâm phạm thông qua các lỗ hổng.
Hà Phương
(Theo thehackernews)
10:00 | 22/04/2024
10:00 | 13/05/2024
18:00 | 22/09/2023
07:00 | 19/05/2023
13:00 | 16/09/2022
13:00 | 27/05/2024
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
10:00 | 25/11/2024
Apple vừa phát hành bản cập nhật iOS 18.1.1 và macOS 15.1.1 để khắc phục hai lỗ hổng bảo mật nguy hiểm, đồng thời khuyến cáo người dùng iPhone nên cập nhật càng sớm càng tốt.
13:00 | 18/11/2024
Cisco đã xử lý lỗ hổng nghiêm trọng định danh CVE-2024-20418 cho phép kẻ tấn công thực thi lệnh với quyền root trên các điểm truy cập Ultra-Reliable Wireless Backhaul (URWB) dễ bị tấn công.
10:00 | 27/10/2024
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025