WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Các trang WordPress chuyển hướng người dùng ngẫu nhiên đến site độc hại
Tin tặc đã tấn công phá hoại hàng ngàn trang web WordPress và chuyển hướng ngẫu nhiên khách truy cập đến các trang có chứa mã độc và lừa đảo.
Theo Sucuri, tin tặc đã lây nhiễm 10-12 dòng mã độc vào các tập tin header.php của giao diện WordPress. Mã độc sẽ kiểm tra tác nhân người dùng, nếu khách truy cập không phải là trình thu thập (crawler) thì sẽ được dẫn đến rất nhiều trang web độc hại thông qua chuỗi chuyển hướng có các tên miền default7(dot)com, test246(dot)com, test0(dot)com, distinctfestive(dot)com và ableoccassion(dot)com.
Điều thú vị là, không phải tất cả người dùng đều bị chuyển hướng đến các trang độc hại. Mã độc được thiết kế để điều hướng ngẫu nhiên, một người dùng có 15% nguy cơ bị chuyển hướng. Các trang bị tấn công cũng thiết lập cookie để theo dõi khách truy cập.
Nếu truy cập các trang bị hack qua Internet Explorer, sẽ có chuỗi chuyển hướng khác và một downloader độc hại giả dạng cập nhật Java hoặc Flash. Nhà nghiên cứu Jérôme Segura cho biết đã quan sát thấy các trang web lừa đảo hỗ trợ công nghệ được phát tán qua cuộc tấn công này.
Lỗi trong mã độc khiến PHP hiển thị thông báo: “Undefined index: 6FoNxbvo73BHOjhxokW3”. Tìm kiếm chuỗi này trên Google trả về hơn 6.000 kết quả - tuy nhiên số lượng thực tế các trang web bị tấn công có khả năng cao hơn nhiều vì các thông báo PHP bị vô hiệu hóa trên nhiều máy chủ.
Tìm kiếm chuỗi này trên Google cho thấy mã độc cũng đã được tiêm vào file footer.php của các trang WordPress. Tin tặc dường như đã chuyển mục tiêu sang các file header.php trong tháng 4, nhưng các nhà nghiên cứu phát hiện rằng lây nhiễm footer.php phức tạp hơn vì mã độc được thiết kế không chỉ để chuyển hướng khách truy cập, mà còn đẩy pop-up và URL chuyển hướng có thể được cập nhật dễ dàng bằng cách gửi yêu cầu đến trang bị lây nhiễm.
Mã độc tương tự cũng đã lây nhiêm vào tập tin administrator/includes/help.php của một số trang web Joomla, nhưng chỉ có một số trang bị ảnh hưởng.
Theo SecurityWeek
Theo Sucuri, tin tặc đã lây nhiễm 10-12 dòng mã độc vào các tập tin header.php của giao diện WordPress. Mã độc sẽ kiểm tra tác nhân người dùng, nếu khách truy cập không phải là trình thu thập (crawler) thì sẽ được dẫn đến rất nhiều trang web độc hại thông qua chuỗi chuyển hướng có các tên miền default7(dot)com, test246(dot)com, test0(dot)com, distinctfestive(dot)com và ableoccassion(dot)com.
Điều thú vị là, không phải tất cả người dùng đều bị chuyển hướng đến các trang độc hại. Mã độc được thiết kế để điều hướng ngẫu nhiên, một người dùng có 15% nguy cơ bị chuyển hướng. Các trang bị tấn công cũng thiết lập cookie để theo dõi khách truy cập.
Nếu truy cập các trang bị hack qua Internet Explorer, sẽ có chuỗi chuyển hướng khác và một downloader độc hại giả dạng cập nhật Java hoặc Flash. Nhà nghiên cứu Jérôme Segura cho biết đã quan sát thấy các trang web lừa đảo hỗ trợ công nghệ được phát tán qua cuộc tấn công này.
Lỗi trong mã độc khiến PHP hiển thị thông báo: “Undefined index: 6FoNxbvo73BHOjhxokW3”. Tìm kiếm chuỗi này trên Google trả về hơn 6.000 kết quả - tuy nhiên số lượng thực tế các trang web bị tấn công có khả năng cao hơn nhiều vì các thông báo PHP bị vô hiệu hóa trên nhiều máy chủ.
Tìm kiếm chuỗi này trên Google cho thấy mã độc cũng đã được tiêm vào file footer.php của các trang WordPress. Tin tặc dường như đã chuyển mục tiêu sang các file header.php trong tháng 4, nhưng các nhà nghiên cứu phát hiện rằng lây nhiễm footer.php phức tạp hơn vì mã độc được thiết kế không chỉ để chuyển hướng khách truy cập, mà còn đẩy pop-up và URL chuyển hướng có thể được cập nhật dễ dàng bằng cách gửi yêu cầu đến trang bị lây nhiễm.
Mã độc tương tự cũng đã lây nhiêm vào tập tin administrator/includes/help.php của một số trang web Joomla, nhưng chỉ có một số trang bị ảnh hưởng.
Theo SecurityWeek