Hacker lợi dụng jQuery.com để thực hiện tấn công Drive-by

Khách truy cập tới jQuery.com đang trở thành mục tiêu của cuộc tấn công “drive-by” vào ngày 18 tháng 12, bộ khai thác RIG được chèn vào hệ thống của Jquery,  phần mềm độc hại này được thiết kế để ăn cắp tên người dùng và mật khẩu, công ty bảo mật RiskIQ cảnh báo.

Các bộ khai thác RIG đã bị phát hiện vào tháng tư năm nay và đã được sử dụng bởi tội phạm mạng trên các trang web phổ biến; nó thường được sử dụng để tải về Trojan banking và các dạng thông tin ăn cắp khác.

jQuery là một thư viện JavaScript được sử dụng để phát triển nhiều trang web có nội dung động và các nhà phát triển của các công ty dựa chủ yếu vào nó; gần 70% trong số 10.000 trang web hàng đầu trên thế giới sử dụng Jquery, theo số liệu thống kê từ jQuery.

Phần mềm độc hại chuyển hướng được lưu trữ tại Nga, thư viện jQuery không bị ảnh hưởng

Sau khi phát hiện một kịch bản độc hại đã thêm một iframe (một tài liệu HTML nhúng vào bên trong một tài liệu HTML trên một trang web) ẩn trên jQuery.com, RiskIQ bắt đầu một cuộc điều tra và xác định rằng người dùng đã được chuyển hướng đến một miền khác vào ngày diễn ra cuộc tấn công, ngày 18 tháng 9.

Công ty này nhận thấy rằng tên miền chuyển hướng đến RIG có máy chủ đặt ở Nga và nó vẫn tiếp tục làm việc vào thứ ba.

Cuộc điều tra của các nhà nghiên cứu bảo mật đã tiết lộ rằng bản thân thư viện không bị ảnh hưởng trong bất kỳ trường hợp nào. Tuy nhiên, phát hiện phần mềm độc hại đánh cắp thông tin trên jQuery.com đặc biệt nguy hiểm vì theo thống kê lượng người dùng truy cập vào jQuery. Người dùng jQuery nói chung là các quản trị viên hệ thống CNTT và các nhà phát triển Web, bao gồm một đội ngũ lớn những người làm việc trong các doanh nghiệp”, James Pleger của RiskIQ cho biết.

Nói chung, kiểu người dùng này có quyền truy cập đến các hệ thống phụ trợ và cơ sở hạ tầng web quan trọng, điều này khiến cuộc tấn công gây ra các tác hại lớn hơn, cho phép kẻ tấn công có khả năng truy cập đến các khu vực nhạy cảm của doanh nghiệp mà chúng nhắm mục tiêu.

Đáng chú ý là các công ty bảo mật không thể sao chép các kịch bản trên các trang web này.

Sau khi nhận thông báo từ RiskIQ, nhóm nghiên cứu jQuery nghiên cứu vấn đề để tìm hiểu những phần nào của trang web đã bị ảnh hưởng bởi bộ công cụ khai thác. Tuy nhiên, họ đã không thể xác nhận sự gây hại từ các bản ghi trên máy chủ và phát hiện không có dấu vết của bộ khai thác RIG.

Mặc dù không tìm thấy bằng chứng của cuộc tấn công, đội ngũ bảo mật của jQuery đã tiến hành các bước thích hợp để đảm bảo rằng bộ máy của họ là an toàn và trong sạch.

Các công ty bảo mật khuyến nghị những người ghé thăm trang web vào ngày 18 tháng 9 cần xem lại hệ thống của mình, các thiết lập lại mật khẩu và kiểm tra xem có bất kỳ hoạt động đáng ngờ nào bắt nguồn từ máy tính có nghi ngờ đã bị xâm nhập hay không.

Softpedia