WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Phát hiện malware trong WordPress chiếm phiên làm việc, đánh cắp cookie
Các nhà nghiên cứu vừa xác định được một loại malware ăn trộm cookie được lây nhiễm vào file JavaScript hợp pháp, giả dạng tên miền lõi (core domain) WordPress.
Kẻ tấn công đã sử dụng typosquatting (đăng ký tên miền giống với những tên miền phổ biến nhưng sai một lỗi chính tả thông thường) hoặc đánh cắp URL để tạo ra tên miền giả mạo code.wordprssapi[.]com.
Những kẻ tấn công lây nhiễm malware vào cuối các file WordPress JavaScript được thiết kế để điều hướng các thông tin nhạy cảm như cookie đến tên miền giả mạo.
Hacker dường như còn lợi dụng một lỗ hổng khác trong WordPress để chèn một đoạn code đã bị làm rối.
Ngoài cách xuất hiện ở cuối file WordPress JavaScript thực – wp-includes/js/hoverIntent[.]min[.]js, đoạn code còn sử dụng một mô hình làm rối điển hình eval(function(p,a,c,k,e,d), một chức năng thường được sử dụng trong thư viện và script của JavaScript.
Khi phát hiện ra dữ liệu có giá trị (cookie), một script sẽ gửi dữ liệu đến kẻ tấn công thông qua site có chứa mã độc (code.wordprssapi[.]com).
Bằng cách đánh cắp cookie của người dùng, thông qua một cuộc tấn công chiếm phiên làm việc cơ bản, kẻ tấn công có thể giả làm người dùng để thực hiện các hành động trên quyền của họ.
Bên cạnh đó, chúng có thể bắt chước URL code.wordpressapi[.]com, có từ “WordPress” để làm nó trông giống như trang thật.
Bằng việc mua tên miền gần giống với website hợp pháp, một số quản trị web có thể bỏ qua mã này và xem như một tền miền chính thức của WordPress.
Để đảm bảo code sạch, quản trị web nên kiểm tra kép các site, đảm bảo không gửi các dữ liệu nhạy cảm như cookie hoặc mật khẩu cho bên thứ ba.
Kẻ tấn công đã sử dụng typosquatting (đăng ký tên miền giống với những tên miền phổ biến nhưng sai một lỗi chính tả thông thường) hoặc đánh cắp URL để tạo ra tên miền giả mạo code.wordprssapi[.]com.
Những kẻ tấn công lây nhiễm malware vào cuối các file WordPress JavaScript được thiết kế để điều hướng các thông tin nhạy cảm như cookie đến tên miền giả mạo.
Hacker dường như còn lợi dụng một lỗ hổng khác trong WordPress để chèn một đoạn code đã bị làm rối.
Ngoài cách xuất hiện ở cuối file WordPress JavaScript thực – wp-includes/js/hoverIntent[.]min[.]js, đoạn code còn sử dụng một mô hình làm rối điển hình eval(function(p,a,c,k,e,d), một chức năng thường được sử dụng trong thư viện và script của JavaScript.
Khi phát hiện ra dữ liệu có giá trị (cookie), một script sẽ gửi dữ liệu đến kẻ tấn công thông qua site có chứa mã độc (code.wordprssapi[.]com).
Bằng cách đánh cắp cookie của người dùng, thông qua một cuộc tấn công chiếm phiên làm việc cơ bản, kẻ tấn công có thể giả làm người dùng để thực hiện các hành động trên quyền của họ.
Bên cạnh đó, chúng có thể bắt chước URL code.wordpressapi[.]com, có từ “WordPress” để làm nó trông giống như trang thật.
Bằng việc mua tên miền gần giống với website hợp pháp, một số quản trị web có thể bỏ qua mã này và xem như một tền miền chính thức của WordPress.
Để đảm bảo code sạch, quản trị web nên kiểm tra kép các site, đảm bảo không gửi các dữ liệu nhạy cảm như cookie hoặc mật khẩu cho bên thứ ba.
Nguồn: Thread Post