WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Gần 2000 website WordPress bị ảnh hưởng bởi Keylogger
Hơn 2.000 website WordPress bị phát hiện nhiễm mã độc đào tiền ảo đánh cắp tài nguyên của máy tính nạn nhân để tiến hành đào tiền và ghi lại thao tác bàn phím.
Các nhà nghiên cứu an ninh tại Sucuri phát hiện ra một chiến dịch lây nhiễm các trang web WordPress bằng một script độc hại có nhiệm vụ phát tán công cụ đào tiền ảo từ CoinHive cùng một keylogger.
CoinHive là một dịch vụ dựa trên trình duyệt phổ biến giúp các chủ trang web nhúng một JavaScript để sử dụng CPU của khách truy cập trang web của họ nhằm khai thác đồng tiền ảo Monero.
Theo Sucuri, chiến dịch lần này sử dụng mã độc có tên cloudflare[.]solutions. Được phát hiện vào tháng 4 năm ngoái, Cloudflare [.]solution là mã độc khai thác tiền ảo và không có liên quan gì đến Cloudflare. Mã độc được đặt tên là cloudflare[.]solutions bởi ban đầu nó sử dụng tên miền này để phát tán.
Mã độc được cập nhật vào tháng 11 để bao gồm một keylogger. Nếu trang web WordPress bị nhiễm là nền tảng thương mại điện tử, tin tặc có thể ăn cắp nhiều dữ liệu có giá trị hơn, bao gồm dữ liệu thẻ thanh toán. Nếu hacker ăn cắp được các thông tin quản trị, chúng có thể cứ thế đăng nhập mà không cần dùng đến bất cứ lỗ hổng website nào.
Tên miền cloudflare[.]solution đã bị chặn tháng trước, nhưng hacker đã đăng ký tên miền mới để lưu trữ các script độc, sau đó tải lên các trang web WordPress.
Các tên miền web mới đăng ký bao gồm cdjs[.]online (đăng ký vào ngày 8 tháng 12), cdns[.]ws (vào ngày 9 tháng 12) và msdns[.]online (ngày 16 tháng 12).
Tập cdjs [.] online được chèn vào cơ sở dữ liệu WordPress hoặc tệp tin functions.php. Các tập lệnh cdns [.] ws và msdns [.]online cũng được tìm thấy đã được chèn vào tệp functions.php.
Số lượng các trang web bị nhiễm cdns [.]ws là 129 trang web, và 103 trang web nhiễm cdjs [.] online, theo công cụ tìm kiếm PublicWWW, hơn một nghìn website được báo cáo đã bị nhiễm msdns [.] online
Nếu trang web của bạn đã bị nhiễm, bạn sẽ cần phải xoá mã độc khỏi functions.php và quét bảng wp_posts.
Người dùng nên thay đổi tất cả mật khẩu WordPress và cập nhật tất cả các phần mềm máy chủ bao gồm các theme và plugin của bên thứ ba để đảm bảo an toàn.
Các nhà nghiên cứu an ninh tại Sucuri phát hiện ra một chiến dịch lây nhiễm các trang web WordPress bằng một script độc hại có nhiệm vụ phát tán công cụ đào tiền ảo từ CoinHive cùng một keylogger.
CoinHive là một dịch vụ dựa trên trình duyệt phổ biến giúp các chủ trang web nhúng một JavaScript để sử dụng CPU của khách truy cập trang web của họ nhằm khai thác đồng tiền ảo Monero.
Mã độc được cập nhật vào tháng 11 để bao gồm một keylogger. Nếu trang web WordPress bị nhiễm là nền tảng thương mại điện tử, tin tặc có thể ăn cắp nhiều dữ liệu có giá trị hơn, bao gồm dữ liệu thẻ thanh toán. Nếu hacker ăn cắp được các thông tin quản trị, chúng có thể cứ thế đăng nhập mà không cần dùng đến bất cứ lỗ hổng website nào.
Tên miền cloudflare[.]solution đã bị chặn tháng trước, nhưng hacker đã đăng ký tên miền mới để lưu trữ các script độc, sau đó tải lên các trang web WordPress.
Các tên miền web mới đăng ký bao gồm cdjs[.]online (đăng ký vào ngày 8 tháng 12), cdns[.]ws (vào ngày 9 tháng 12) và msdns[.]online (ngày 16 tháng 12).
Tập cdjs [.] online được chèn vào cơ sở dữ liệu WordPress hoặc tệp tin functions.php. Các tập lệnh cdns [.] ws và msdns [.]online cũng được tìm thấy đã được chèn vào tệp functions.php.
Số lượng các trang web bị nhiễm cdns [.]ws là 129 trang web, và 103 trang web nhiễm cdjs [.] online, theo công cụ tìm kiếm PublicWWW, hơn một nghìn website được báo cáo đã bị nhiễm msdns [.] online
Nếu trang web của bạn đã bị nhiễm, bạn sẽ cần phải xoá mã độc khỏi functions.php và quét bảng wp_posts.
Người dùng nên thay đổi tất cả mật khẩu WordPress và cập nhật tất cả các phần mềm máy chủ bao gồm các theme và plugin của bên thứ ba để đảm bảo an toàn.
Theo: The Hacker News
