17/09/2018, 21:59

Hàng nghìn trang WordPress bị tấn công chuyển hướng người dùng đến bộ công cụ khai thác

Tin tặc không gian mạng đang lợi dụng một lỗ hổng trong plugin WordPress nhằm chuyển hướng người truy cập của hàng nghìn trang web đến bộ công cụ khai thác. Dữ liệu được thu thập bởi các nhà nghiên cứu bảo mật Yonathan Klijnsma và Germany’s Computer Emergency Response Team (CERT-Bund) ...

wordpress-logo-stacked-rgb

Tin tặc không gian mạng đang lợi dụng một lỗ hổng trong plugin WordPress nhằm chuyển hướng người truy cập của hàng nghìn trang web đến bộ công cụ khai thác.

Dữ liệu được thu thập bởi các nhà nghiên cứu bảo mật Yonathan Klijnsma và Germany’s Computer Emergency Response Team (CERT-Bund) cho thấy hơn 3000 trang web đã bị xâm. Tuy nhiên Klijnsma tin rằng con số trang WordPress bị ảnh hưởng còn cao hơn nữa.

Tin tặc đã khai thác một lỗ hổng trong Slider Revolution (RevSlider), một plugin phổ biến trong WordPress. Lỗ hổng được vá ngầm bởi nhà phát triển trong tháng 2 năm 2014 và sự tồn tại của nó được công bố vào tháng 9 năm 2014, sau khi tin tặc khai thác để chiếm hàng nghìn trang web đang sử dụng phiên bản cũ.

Trong tháng 12. Sucuri đã báo cáo một chiến dịch hơn 100,000 trang WordPress bị xâm hại và thiết đặt để chứa malware. Theo Klijnsma, lỗ hổng RevSlider đang được khai thác trong một chiến dịch khác. Tin tặc đặt iframe vào trang web chứa lỗ hổng vào chuyển hướng người dùng đến bộ công cụ khai thác. Chúng toàn quyền điều khiển trang web bằng cách khai thác một lỗ hổng trong local file inclusion (LFI), cho phép chúng truy cập và tải về file từ máy chủ. Tin tặc tạo ra một tài khoản quản trị mới, tải lên một script và một backdoor vào file liên kết với plugin WordPress khác.

Trong hầu hết các trường hợp, nạn nhân được chuyển hướng đến bộ công cụ khai thác Fiesta nhưng Angler cũng đã từng được sử dụng. Với Fiesta, lỗ hổng trong Adobe Flash, Adobe Reader, Java, Microsoft Silverlight, và Internet Explorer được lợi dụng để tải malware vào máy người dùng. Domain sử dụng để chứa bộ công cụ được đăng kí bởi nhà cung cấp DNS động và có thể thay đổi thường xuyên. Bộ công cụ khai thác chứa rất nhiều loại malware, bao gồm Cryptowall 3.0 ransomware, ad fraud malware, và banking Trojan, tùy thuộc vào từng trường hợp.

Klijnsma khuyến cáo các quản trị viên của trang web bị xâm hại loại bỏ toàn bộ các tài khoản và tạo ra tài khoản cùng mật khẩu mới. Bước này là bắt buộc bởi tất cả các tài khoản đều có thể bị tin tặc chiếm quyền truy cập quản trị. “Kiểm tra tất cả PHP file bị thay đổi, so sánh chúng với file gốc WordPress (hoặc bản sao chép cục bộ của bạn để đảm bảo 100%% chúng không bị ảnh hưởng). Cuối cùng, hãy cập nhật RevSlider plugin phiên bản mới nhất.

securityweek

0