Hơn 2.000 trang web WordPress bị nhiễm keylogger

1912

Cuối tuần trước các chuyên gia bảo mật đã cảnh báo hơn 2.000 trang web chạy hệ thống quản lý nội dung mã nguồn mở WordPress đã bị nhiễm mã độc nguy hiểm. Mã độc này log lại thông tin pass và user khi người dùng đăng nhập.

Keylogger này là một phần trong package của mã độc mà đã lợi dụng các máy tính bị nhiễm để đào tiền ảo. Theo dữ liệu được công bố bởi dịch vụ tìm kiếm trang web PublicWWW cho thấy, cho tới chiều thứ Hai tuần này, có 2,092 trang web đang chạy script mã độc này.

Công ty bảo mật Website Sucuri nói đây là mã độc đã được tìm thấy trên 5.500 trang web WordPress trong tháng 12. Nguồn phát tán mã độc này đã được làm sạch sau khi cloudflare[.]solutions – là website host các mã độc này bị hạ. Hiện đã phát hiện thêm những nguồn phát tán mã độc mới là msdns[.]online, cdns[.]ws, và cdjs[.]online. Tuy nhiên không có trang có liên quan đến Cloudflare hoặc bất kỳ công ty hợp pháp nào khác.

Nghiên cứu của Sucuri Denis Sinegubko được đăng trên blog : “Thật không may cho những người dùng và chủ sở hữu trang web bị nhiễm mã độc, keylogger , phương thức tấn công không có gì mới là, kịch bản chung là dữ liệu được nhập vào mỗi mẫu trang web (bao gồm cả hình thức đăng nhập) và được gửi cho các hacker thông qua giao thức WebSocket.”

Cuộc tấn công lần này hoạt động bằng cách thêm vào các trang web WordPress một đoạn mã. Các đoạn mã được thêm vào ghi nhận tới thời điểm tại bao gồm:

  • hxxps://cdjs[.]online/lib.js
  • hxxps://cdjs[.]online/lib.js?ver=…
  • hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…
  • hxxps://msdns[.]online/lib/mnngldr.js?ver=…
  • hxxps://msdns[.]online/lib/klldr.js

Bên cạnh việc ghi lại các thao tác gõ phím vào bất kỳ input nào, các mã độc này tải thêm mã JavaScript từ Coinhive để sử dụng CPU máy tính của khách truy cập cho việc khai thác Monero cryptoconal mà không hề thông báo cho người dùng.

Bài đăng của Sucuri không nói rõ ràng các trang web đang bị nhiễm bệnh như thế nào. Theo mọi cách, kẻ tấn công đang khai thác những điểm yếu an ninh do việc sử dụng version WordPress cũ.

Sinegubko đã viết: “Mặc dù mức độ nguy hiểm của các cuộc tấn công lần này vẫn chưa đáng báo động, tuy nhiên điều này báo động về tỷ lệ nâng cấp phiên bản WordPress, khi mà có nhiều trang web không thể nào bảo vệ chính họ sau vụ lây nhiễm. Có thể một số trong các trang web này thậm chí không nhận thấy web của họ bị nhiễm độc.”

Những ai muốn dọn dẹp các trang web bị nhiễm độc thì có thể làm theo các bước sau . Điều quan trọng là các quản trị trang web cần làm lúc này là nên nâng cấp version mới nhất, thay đổi tất cả mật khẩu trang web vì các mã độc cho phép kẻ tấn công truy cập vào tất cả các mật khẩu cũ.

  Thêm JavaScript và CSS Style vào WordPress như thế nào cho đúng?

Techtalk Via arstechnica

 

CHIA SẺ