Chiến dịch này do Sucuri theo dõi ngày 11/5/2024. Chiến dịch lạm dụng một plugin WordPress có tên Dessky Snippets, cho phép người dùng thêm mã PHP tùy chỉnh, nó có hơn 200 cài đặt hoạt động.
Các cuộc tấn công lợi dụng các lỗ hổng đã biết trong plugin WordPress hoặc thông tin xác thực dễ đoán để giành quyền truy cập của quản trị viên và cài đặt các plugin khác (hợp pháp hoặc cách khác) để sau khi khai thác.
Sucuri cho biết plugin Dessky Snippets được sử dụng để chèn phần mềm độc hại đọc lướt thẻ tín dụng PHP phía máy chủ vào các trang web bị xâm nhập và đánh cắp dữ liệu tài chính.
Nhà nghiên cứu bảo mật Ben Martin cho biết: “Mã độc hại này đã được lưu trong tùy chọn dnsp_settings trong bảng wp_options của WordPress và được thiết kế để sửa đổi quy trình thanh toán trong WooC Commerce bằng cách thao tác với biểu mẫu thanh toán và chèn mã riêng của nó”.
Cụ thể, nó được thiết kế để thêm một số trường mới vào biểu mẫu thanh toán yêu cầu chi tiết thẻ tín dụng, bao gồm tên, địa chỉ, số thẻ tín dụng, ngày hết hạn và số Giá trị xác minh thẻ (CVV), sau đó được lọc sang URL "hxxps: //2of[.]cc/wp-content/."
Một khía cạnh đáng chú ý của chiến dịch là biểu mẫu thanh toán được liên kết với lớp phủ giả có thuộc tính tự động hoàn thành bị vô hiệu hóa (tức là tự động hoàn thành = "tắt").
Đây không phải là lần đầu tiên tin tặc sử dụng các plugin đoạn mã hợp pháp cho mục đích xấu. Tháng trước, công ty đã tiết lộ việc lạm dụng plugin đoạn mã WPCode để đưa mã JavaScript độc hại vào các trang web WordPress nhằm chuyển hướng khách truy cập trang web đến các miền VexTrio.
Một chiến dịch phần mềm độc hại khác có tên Sign1 đã bị phát hiện đã lây nhiễm hơn 39.000 trang web WordPress trong sáu tháng qua bằng cách sử dụng tính năng chèn JavaScript độc hại thông qua plugin JS và CSS tùy chỉnh đơn giản để chuyển hướng người dùng đến các trang web lừa đảo.
Chủ sở hữu trang web WordPress, đặc biệt là những trang cung cấp chức năng thương mại điện tử, nên cập nhật trang web và plugin của họ, sử dụng mật khẩu mạnh để ngăn chặn các cuộc tấn công và thường xuyên kiểm tra các trang web để tìm dấu hiệu phần mềm độc hại hoặc bất kỳ thay đổi trái phép nào.
Bá Phúc
14:00 | 08/07/2024
16:00 | 09/08/2024
10:00 | 13/05/2024
10:00 | 21/11/2024
10:00 | 22/04/2024
13:00 | 27/05/2024
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
08:00 | 22/12/2024
Trang web chuyên đăng tải các bài báo về phòng chống lừa đảo mạng Scam Sniffer cho biết, trong thời gian gần đây kẻ tấn công đã cài phần mềm chứa mã độc vào các trang web giả mạo được lập ra với mục đích để xác thực tài khoản Telegram của người dùng.
10:00 | 12/12/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
10:00 | 04/12/2024
Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025