Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024 | HACKER / MALWARE

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

Công ty cung cấp dịch vụ bảo mật toàn cầu Sucuri cho biết trong một báo cáo được công bố gần đây rằng biến thể gần đây nhất của phần mềm độc hại này được ước tính đã lây nhiễm không dưới 2.500 trang web chỉ trong 2 tháng qua.

Các cuộc tấn công liên quan đến việc chèn mã JavaScript độc hại vào các tiện ích và plugin HTML. Cụ thể, một đoạn mã JavaScript được mã hóa XOR sau đó được giải mã và sử dụng để thực thi tệp JavaScript được lưu trên máy chủ từ xa nhằm tạo điều kiện cho việc chuyển hướng đến hệ thống phân phối lưu lượng truy cập do VexTrio vận hành khi đáp ứng một số điều kiện nhất định.

Ngoài ra, phần mềm độc hại sử dụng tính năng ngẫu nhiên dựa trên thời gian để tải các URL động (dynamic URL) thay đổi cứ sau 10 phút để vượt qua danh sách chặn (blocklists). Các tên miền độc hại này được đăng ký vài ngày trước khi sử dụng trong các cuộc tấn công.

Nhà nghiên cứu bảo mật Ben Martin cho biết: “Một điểm đáng chú ý về mã độc này là nó đặc biệt tìm kiếm xem liệu người truy cập có đến từ các trang web lớn như Google, Facebook, Yahoo, Instagram,... hay không. Nếu trường referrer trong request của người dùng không khớp với các trang này thì phần mềm độc hại sẽ không được thực thi”. Sau đó, người truy cập trang web sẽ được chuyển hướng đến các trang lừa đảo khác bằng cách thực thi một mã JavaScript khác từ cùng một máy chủ.

Chiến dịch Sign1, được phát hiện lần đầu vào nửa cuối năm 2023, trong đó những kẻ tấn công đã lạm dụng 15 tên miền khác nhau kể từ ngày 31/7/2023. Các chuyên gia cho biết các trang web WordPress có thể đã bị xâm phạm thông qua tấn công brute-force (dò quét thông tin đăng nhập) hoặc bằng cách khai thác các lỗ hổng bảo mật trong plugin và theme để giành được quyền truy cập ban đầu.

Ben Martin cho biết: “Nhiều đoạn mã độc hại đã được phát hiện bên trong các tiện ích HTML tùy chỉnh của WordPress mà kẻ tấn công thêm vào các trang web bị xâm nhập. Những kẻ tấn công thường cài đặt một plugin JS và CSS tùy chỉnh hợp pháp và chèn thêm mã độc bằng cách sử dụng plugin này”. Cách tiếp cận không lưu vết bất kỳ mã độc nào trong các tệp của máy chủ cho phép phần mềm độc hại không bị phát hiện trong thời gian dài.

Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch độc hại như vậy, các quản trị viên WordPress cần đảm bảo sử dụng mật khẩu mạnh và áp dụng các biện pháp bảo mật bổ sung để bảo vệ thông tin đăng nhập cho các tài khoản, đồng thời thường xuyên kiểm tra và cập nhật phiên bản mới nhất cho các plugin/theme để tránh bị xâm phạm thông qua các lỗ hổng.

Hà Phương

(Theo thehackernews)

‹ › ×

Tin liên quan

Phát hiện lỗ hổng nghiêm trọng SQl Injection gây ảnh hưởng đến một triệu trang web WordPress

10:00 | 22/04/2024

Một plugin thương mại dành cho WordPress có tên LayerSlider, đang được sử dụng trong hơn một triệu trang web tồn tại lỗ hổng SQL injection mà không yêu cầu người dùng xác thực.

Tấn công mã độc tống tiền ngày càng tinh vi và khó phát hiện

18:00 | 22/09/2023

FortiGuard Labs mới đây vừa công bố Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu trong nửa đầu năm 2023. Đáng chú ý, các nhà nghiên cứu đã quan sát thấy sự sụt giảm đáng kể số lượng các tổ chức phát hiện phần mềm tống tiền. Điều đó cho thấy tấn công bằng mã độc tống tiền ngày càng tinh vi hơn, khó phát hiện hơn, trong khi tần suất và tác động của các cuộc tấn công có chủ đích vẫn tiếp tục gia tăng.

Hơn một triệu trang WordPress có nguy cơ bị tấn công bởi lỗ hổng CVE-2023-32243

07:00 | 19/05/2023

Một lỗ hổng nghiêm trọng đã được phát hiện trong plugin WordPress phổ biến Essential Addons for Elementor có khả năng bị khai thác để chiếm được các đặc quyền nâng cao trên các trang web bị ảnh hưởng.

Phát hiện các plugin độc hại trong 25.000 trang web WordPress

13:00 | 16/09/2022

Các nhà nghiên cứu tại Viện Công nghệ Georgia (Hoa Kỳ) phát hiện rất nhiều các plugin độc hại trên hàng chục nghìn trang web WordPress.

Tin cùng chuyên mục

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.

Tin tặc Nga có liên quan đến cuộc tấn công mạng lớn nhất từ trước đến nay vào cơ sở hạ tầng quan trọng của Đan Mạch

13:00 | 26/02/2024

Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.

Google Chrome phát hành bản vá để khắc phục lỗ hổng zero-day

15:00 | 19/01/2024

Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.