Trên 2000 trang web WordPress đang bị tấn công bởi mã độc keylogger

Vừa qua các chuyên gia bảo mật đã cảnh báo hơn 2.000 trang web sử dụng mã nguồn mở WordPress đã bị nhiễm mã độc nguy hiểm. Phần mềm độc hại này có khả năng log lại các thông tin như tài khoản mật khẩu của người dùng. Thậm chí là tất cả những hành động của mọi người trên website.

Trong mã độc này còn chứa cả keylogger, một chương trình sẽ cài đặt một trình khai thác tiền ảo trong máy tính của bất kỳ một ai truy cập vào website bị nhiễm mã. Dữ liệu được cung cấp bởi trang web PublicWWW cho thấy, đã có trên 2000 website đang chạy script mã độc này.

Công ty bảo mật Website Sucuri cho biết thêm đây cũng là loại mã độc giống với mã độc được tìm thấy trên 5.500 trang web WordPress trong tháng 12 vừa qua. Tuy nhiên nguồn phát tán mã độc đã được xoá bỏ khi cloudflare.solutions đã được gỡ xuống – đây là webiste host chứa mã độc. Hiện Sucuri cũng đã pháh hiện thêm ba trang web mới phát tán mã độc là msdns.online, cdns. ws, và cdjs.online. Tuy nhiên đây chỉ là hình thức mạo danh bởi các trang này không hề liên quan đến Cloudflare hay bất kì một công ty hợp pháp nào khác.

Nghiên cứu của Sucuri Denis Sinegubko được đăng tải trên blog: “Thật không may cho những người dùng và chủ sở hữu trang web bị nhiễm mã độc, keylogger hoạt động tương tự như cũ” . “Kịch bản gửi dữ liệu được nhập vào một mẫu trang web (bao gồm cả hình thức đăng nhập) cho các hacker thông qua giao thức WebSocket.”

Cuộc tấn công này hoạt động bằng cách đưa một loạt các kịch bản vào các trang web WordPress. Các kịch bản được đưa vào vào tháng trước bao gồm:

  • hxxps://cdjs[.]online/lib.js
  • hxxps://cdjs[.]online/lib.js?ver=…
  • hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…
  • hxxps://msdns[.]online/lib/mnngldr.js?ver=…
  • hxxps://msdns[.]online/lib/klldr.js

Những kẻ tấn công đưa cdjs.online vào cơ sở dữ liệu WordPress của trang web (wp_posts table) hoặc vào phần functions.php, như trường hợp trong vụ tấn công tháng 12 của cloudflare.solutions. Sinegubko cũng tìm thấy cdns.ws và msdns.online được đưa vào tệp functions.php của themes. Bên cạnh việc ghi lại các thao tác gõ phím vào bất kỳ input nào với máy, các mã độc này còn tải thêm các mã JavaScript từ Coinhive để sử dụng CPU máy tính của khách truy cập cho việc khai thác Monero cryptoconal mà không hề thông báo cho người dùng

Bài đăng của Sucuri không nói rõ ràng các trang web đang bị nhiễm bệnh như thế nào. Theo mọi cách, kẻ tấn công đang khai thác những điểm yếu an ninh của WordPress khi người dùng sử dụng phần mềm lỗi thời.

Sinegubko đã viết: “Mặc dù các cuộc tấn công mới này chưa đến mức nghiêm trọng như vụ cloudflare.solutions ban đầu, tuy nhiên điều đáng báo động là có những website lại bị nhiễm lại mã độc lần 2”. “Có thể một trong số các trang web này thậm chí còn không biết rằng website của họ đã bị tấn công.”

WordPress là một mã nguồn mở do đó mà nó tồn tại rất nhiều lỗi bảo mật mà những kẻ tấn công có thể khai thác. Điều quan trọng là các webmaster học cách bảo vệ website bằng cách tìm hiểu nhiều hơn về các bước bảo mật website WordPress để không bị kẻ xấu lợi dụng.

Bình luận

Bình luận

Your email address will not be published.


*