Các trang Drupal phát tán mã độc đào tiền ảo, công cụ RAT và lừa đảo scam

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:0911, 22/05/18, 10:05 AM.

  1. WhiteHat News #ID:0911

    WhiteHat News #ID:0911 WhiteHat Support

    Tham gia: 30/07/14, 10:07 AM
    Bài viết: 548
    Đã được thích: 63
    Điểm thành tích:
    48
    Các trang web Drupal bị tấn công bởi tội phạm mạng bằng cách sử dụng các lỗ hổng Drupalgeddon2 và Drupalgeddon3 có chứa mã độc đào tiền ảo, công cụ quản trị từ xa (RAT) và kỹ thuật lừa đảo scam.

    Hai lỗi nghiêm trọng, CVE-2018-7600 và CVE-2018-7602, đều cho phép thực thi mã từ xa đã được vá gần đây trong hệ thống quản lý nội dung Drupal (CMS).

    hacking-drupal-website-exploit.jpg

    Hacker bắt đầu khai thác Drupalgeddon2, CVE-2018-7600, khoảng hai tuần sau khi bản vá được phát hành và ngay sau khi mã PoC được công bố.

    CVE-2018-7602, còn gọi là Drupalgeddon 3, được phát hiện khi nhóm an ninh Drupal và nhà phát triển Jasper Mattsson phân tích CVE-2018-7600. Mattsson cũng là người báo cáo lỗ hổng đầu tiên. Tin tặc bắt đầu khai thác CVE-2018-7602 ngay lập tức sau khi bản vá được phát hành.

    Tội phạm mạng khai thác các lỗ hổng với mục đích tấn công máy chủ và lợi dụng chúng để đào tiền ảo. Một số trang web đã bị botnet nhắm mục tiêu cũng bị kéo vào các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

    Các nhà nghiên cứu tại Malwarebytes gần đây đã tiến hành phân tích các cuộc tấn công máy khách có liên quan đến Drupalgeddon2 và Drupalgeddon3.

    Các chuyên gia nhận thấy rằng gần một nửa số trang web Drupal bị tấn công đang chạy phiên bản CMS 7.5.x, trong khi khoảng 30% đang chạy phiên bản 7.3.x, được cập nhật lần cuối vào tháng 8/2015.

    Không ngạc nhiên, hơn 80 % các trang web bị tấn công tham gia phục vụ mục đích đào tiền ảo, chủ yếu là chèn Coinhive.

    “Chúng tôi đã thu thập các loại mã chèn khác nhau, từ văn bản dạng đơn giản và dạng rõ đến các hình ảnh bị làm mờ. Điều đáng chú ý là trong nhiều trường hợp, mã ở dạng động - rất có thể là một kỹ thuật để tránh bị phát hiện”, các nhà nghiên cứu cho biết trong một bài đăng trên blog.

    Chỉ hơn 12 % các cuộc tấn công Malwarebytes quan sát thấy có phát tán RAT hoặc bộ đánh cắp mật khẩu cải trang là các bản cập nhật trình duyệt web.

    Các kỹ thuật lừa đảo chiếm gần 7 % các cuộc tấn công máy khách được phát hiện. Trong các cuộc tấn công này, khách truy cập trang web thường bị chuyển hướng đến một trang, trang này cố tình khóa trình duyệt của họ và hướng dẫn họ gọi số "hỗ trợ kỹ thuật".

    Nguồn: Security Week

    Tin bài liên quan:

    Phát hiện lỗ hổng nghiêm trọng thứ 3 của Drupal – Hãy vá trang của bạn ngay lập tức
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan