Một phần mềm độc hại, chưa được biết đến trước đây, đã khai thác 30 lỗ hổng trong nhiều plugin và theme WordPress đã lỗi thời để chèn mã độc JavaScript. Phần mềm độc hại Linux mới khai thác lỗ hổng của 30 plugin để tấn công backdoor website WordPress.
Theo báo cáo của nhà cung cấp phần mềm chống vi-rút Dr. Web, phần mềm độc hại nhắm mục tiêu vào cả hệ thống Linux 32-bit và 64-bit, cho phép kẻ tấn công thực thi lệnh từ xa.
Phương thức chính được trojan này sử dụng để tấn công các trang web WordPress là khai thác một bộ công cụ hardcoded (*), chạy liên tục cho đến khi một trong số chúng thực hiện thành công.
Các plugin và theme được nhắm mục tiêu gồm:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
Nếu trang web được nhắm mục tiêu đang sử dụng phiên bản lỗi thời của một trong các plugin trên và sẽ rất dễ bị tấn công, mã độc hại sẽ tự động tìm cách nạp mã JavaScript độc hại từ máy chủ và chiếm quyền kiểm soát (C2) của nó và chèn tập lệnh vào trang web.
Đã chèn mã chuyển hướng (Dr. Web)
Các trang bị nhiễm đóng vai trò là trình chuyển hướng đến vị trí do kẻ tấn công lựa chọn, vì vậy phương pháp này hoạt động hiệu quả nhất trên các trang web ít được chăm sóc và bảo trì.
Những chuyển hướng này có thể phục vụ trong các chiến dịch lừa đảo, phân phối phần mềm độc hại và quảng cáo độc hại mà ít khi bị phát hiện và chặn. Điều đó có nghĩa, những kẻ tấn công có thể kiểm soát và phát tán mã độc để bán hoặc cung cấp sản phẩm, dịch vụ cho những tội phạm mạng khác.
Một thông tin cập nhật gần đây nhất của tải trọng mà Dr. Web đã ghi nhận được trong thực tế cũng nhắm mục tiêu các tiện ích bổ sung WordPress sau:
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Các tiện ích bổ sung mới được nhắm mục tiêu bởi biến thể mới cho thấy rằng sự phát triển rất nhanh của mã độc backdoor này vào thời điểm hiện tại.
Dr. Web cũng nhấn mạnh rằng cả hai biến thể đều có khả năng hoặc hoạt động kể cả khi ở trạng thái không được kích hoạt (inactive), điều này sẽ cho phép nó dễ dàng thực hiện các cuộc tấn công nhằm vào tài khoản quản trị viên của trang web.
Để chống lại mối đe dọa này, quản trị viên của các trang web WordPress phải cập nhật các theme và plugin đang chạy trên trang web lên phiên bản mới nhất hiện có và thay thế những theme và plugin không còn được hỗ trợ. Sử dụng mật khẩu mạnh và kích hoạt cơ chế xác thực hai yếu tố sẽ đảm bảo khả năng bảo vệ chống lại các cuộc tấn công bằng phương pháp brute-force.
(Theo Bill Toulas)
(*) hardcored là một phần của chương trình máy tính không thể thay đổi theo bất kỳ cách nào ngoại trừ bằng cách thay đổi mã nguồn của chính chương trình đó.