Phát hiện mã độc nhắm vào quản trị viên WordPress thông qua plugin giả

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
99
836 bài viết
Phát hiện mã độc nhắm vào quản trị viên WordPress thông qua plugin giả
WhiteHat Team
Một chiến dịch phần mềm độc hại tinh vi nhắm vào quản trị viên WordPress đã được phát hiện, tin tặc đã lợi dụng một plugin giả mạo tên “wp-runtime-cache” để đánh cắp thông tin đăng nhập và xâm nhập vào hệ thống.

21a74cd846e6f2b8abf7.jpg

Plugin này chỉ bao gồm một tệp duy nhất là "wp-runtime-cache.php", không có mô tả, tác giả hay URL hỗ trợ, chúng sử dụng mã hóa base64 cùng tên biến ngẫu nhiên như "infiltrateDocumentStore0460" để tránh bị phát hiện.

Cách hoạt động của mã độc:​

  • Mỗi khi người dùng đăng nhập vào trang quản trị, mã độc sẽ kích hoạt (thông qua hàm wp_login) và âm thầm kiểm tra vai trò tài khoản.
  • Nếu là admin (manage_options) hoặc editor (edit_pages), nó sẽ thu thập:
    * Tên đăng nhập
    * Mật khẩu
    * Quyền truy cập
  • Thông tin này được mã hóa và gửi về máy chủ điều khiển của hacker qua địa chỉ: "https ://woocommerce-check.com/report-to"
Đáng chú ý, tên miền độc hại này chỉ mới được đăng ký vào tháng 10/2024 với thông tin đáng ngờ: Địa chỉ Mỹ nhưng mã quốc gia lại là Hong Kong => cho thấy dấu hiệu giả mạo danh tính.

Để tránh bị phát hiện, các plugin cần:​

  • Tự động ẩn khỏi danh sách plugin trong giao diện quản trị bằng đoạn mã "add_action('pre_current_active_plugins', …)"
  • Chỉ hiện ra với người có mã truy cập đặc biệt => cho phép hacker kiểm soát nhưng ngăn chặn người quản trị thật phát hiện.

️Các chuyên gia đưa ra những khuyến nghị bảo mật cấp thiết:​

  1. Kiểm tra định kỳ các plugin và file lạ trên máy chủ (dùng các công cụ quét mã độc server-side).
  2. Bật xác thực hai bước (2FA) và giới hạn IP đăng nhập để tăng lớp bảo vệ.
  3. Sau khi nghi ngờ bị tấn công, hãy đổi ngay "salts" trong tệp wp-config.php bằng Salt Generator của WordPress – giúp mã hóa mật khẩu mạnh hơn.
  4. Thường xuyên kiểm tra và thay đổi mật khẩu admin định kỳ, không dùng lại mật khẩu cũ hoặc yếu.
  5. Không cài plugin từ nguồn không rõ ràng hoặc thiếu thông tin nhà phát triển.
  6. Cập nhật các khóa bảo mật trong wp-config.php
Đây là một chiến dịch tấn công tinh vi, ẩn mình tốt và nhắm thẳng vào người có quyền truy cập cao nhất, do đó việc chủ động phát hiện và phòng ngừa là vô cùng quan trọng. Nếu bạn là admin WordPress, thì đừng quên kiểm tra ngay website của mình có tồn tại plugin lạ mang tên "wp-runtime-cache" hay không nhé.

Theo Cyber Security News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Microsoft Trusted Signing bị lợi dụng để phát tán phần mềm độc hại
  • Cảnh báo lừa đảo phát tán mã độc chiếm quyền điều khiển trên Android tại Việt Nam
  • Tôi đã phát hiện website bị chèn mã độc nhờ tiếng quạt CPU như thế nào?
  • Phát hiện mã độc mới trên Linux có tên OrBit
  • Hướng dẫn xử lý các lỗi của hệ thống phát sinh do mã độc
  • Virus tấn công và phát tán qua SQL Server
    • Thẻ
    fake cache plugin malware wordpress
    Bên trên