DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Tệp jQuery giả mạo lây nhiễm phần mềm độc hại vào các trang WordPress
Do sự phổ biến của plugin jQuery Migrate với 7.2 triệu trang web WordPress sử dụng, không ngạc nhiên khi tin tặc cố gắng ngụy trang các phần mềm độc hại với tên gọi gần giống như plugin này.
Gần đây, hai nhà nghiên cứu bảo mật Denis Sinegubko và Adrian Stoian đã phát hiện các tệp jQuery giả mạo mạo danh plugin jQuery Migrate trên hàng chục trang web. Các tệp này được đặt tên là jquery-migrate.js và jquery-migrate.min.js, xuất hiện tại các vị trí tệp JavaScript thường xuất hiện trên các trang WordPress, nhưng thực tế lại là độc hại.
Để làm cho việc phát hiện trở nên khó khăn, các tệp độc hại này sẽ thay thế các tệp gốc, hợp pháp tồn tại trong thư mục ./wp-includes/js/jquery/ trên các trang web, đây là thư mục mà WordPress lưu giữ các tệp jQuery.
Hai tệp độc hại jquery-migrate.js và jquery-migrate.min.js chứa các đoạn mã độc để tiếp tục tải một tệp analytics.js bí ẩn chứa mã độc hại bên trong.
Mặc dù quy mô đầy đủ của cuộc tấn công này vẫn chưa được xác định, Sinegubko đã chia sẻ một truy vấn tìm kiếm cho thấy hơn ba chục trang hiện bị nhiễm tập lệnh phân tích độc hại.
Tuy nhiên, trái ngược với tên của nó, tệp phân tích không liên quan gì đến việc thu thập số liệu trang web:
Phân tích tệp analytics.js, nhà nghiên cứu nhận thấy mã có tham chiếu đến tệp "/wp-admin/user-new.php", đây là trang quản trị WordPress để tạo người dùng mới. Hơn nữa, mã truy cập vào biến _wpnonce_create-user mà WordPress sử dụng để thực thi các biện pháp bảo vệ chống lại tấn công gửi yêu cầu giả mạo (CSRF).
Nói chung, việc có thể lấy hoặc thiết lập CSRF tokens sẽ cho phép kẻ tấn công thực hiện các yêu cầu giả mạo với các quyền trên trang web của người dùng.
Việc đưa các tập lệnh như thế này vào trang web WordPress cho phép những kẻ tấn công tiến hành nhiều hoạt động độc hại khác nhau, bao gồm lừa đảo Magecart để đọc lướt thẻ tín dụng cũng như chuyển hướng người dùng đến các trang lừa đảo. Người dùng có thể bị chuyển hướng đến các cuộc khảo sát giả mạo, lừa đảo hỗ trợ công nghệ, được yêu cầu đăng ký nhận thông báo spam hoặc tải xuống các tiện ích mở rộng trình duyệt không mong muốn.
Trong trường hợp này, hàm checkme() cố gắng chuyển hướng cửa sổ trình duyệt của người dùng đến một URL độc hại.
Đặc biệt, dòng 15 của tập lệnh phân tích analytics.js chứa một URL được mã hóa với các ký tự được biểu thị dưới dạng số ASCII. Khi giải mã, URL được xác định là:
Đầu tiên, tập lệnh analytics.js chuyển hướng người dùng đến URL này, sau đó tiếp tục đưa người dùng qua một loạt chuyển hướng đến các URL spam.
Các trang liên tục nhắc người dùng "Cho phép" thông báo trình duyệt để xác minh họ không phải là robot hoặc dẫn đến các cuộc khảo sát giả nhằm thu thập dữ liệu người dùng.
Nếu người dùng nhấp vào "Cho phép", chuỗi chuyển hướng tiếp tục đưa họ qua các tên miền và trang web khác nhau, hiển thị cho người dùng cùng một thông báo theo những cách sáng tạo hơn.
Dưới đây là một cuộc khảo sát spam mà người dùng được dẫn đến bởi URL này:
Một truy vấn nhằm tìm kiếm các miền bị nhiễm bởi mã độc này tiết lộ thêm hơn hai chục trang web bị nhiễm.
Mạng lưới các URL spam được sử dụng trong chuỗi chuyển hướng cũng rất lớn với nhiều tên miền đang hoạt động.
Hiện tại, tệp analytics.js độc hại và URL được đề cập không bị phát hiện bởi hơn 90% công cụ chống virus, với tỷ lệ phát hiện trên VirusTotal khá thấp.
Do đó, việc thực hiện quét bảo mật các trang web của bạn bằng cách chỉ dựa vào quét dựa trên chữ ký có thể không đủ để phát hiện mã giả ẩn trong các trang web WordPress.
Nhà nghiên cứu vẫn chưa biết làm thế nào mà các tập lệnh này được đưa vào hoặc xâm nhập vào các trang web của các máy chủ bị xâm nhập.
Nếu trang web của bạn sử dụng WordPress hoặc các plugin JavaScript phổ biến như jQuery Migrate, bạn nên thường xuyên thực hiện kiểm tra bảo mật kỹ lưỡng và kiểm tra các điểm bất thường có thể cho thấy dấu hiệu của hoạt động độc hại.
Gần đây, hai nhà nghiên cứu bảo mật Denis Sinegubko và Adrian Stoian đã phát hiện các tệp jQuery giả mạo mạo danh plugin jQuery Migrate trên hàng chục trang web. Các tệp này được đặt tên là jquery-migrate.js và jquery-migrate.min.js, xuất hiện tại các vị trí tệp JavaScript thường xuất hiện trên các trang WordPress, nhưng thực tế lại là độc hại.
Để làm cho việc phát hiện trở nên khó khăn, các tệp độc hại này sẽ thay thế các tệp gốc, hợp pháp tồn tại trong thư mục ./wp-includes/js/jquery/ trên các trang web, đây là thư mục mà WordPress lưu giữ các tệp jQuery.
Hai tệp độc hại jquery-migrate.js và jquery-migrate.min.js chứa các đoạn mã độc để tiếp tục tải một tệp analytics.js bí ẩn chứa mã độc hại bên trong.
Mặc dù quy mô đầy đủ của cuộc tấn công này vẫn chưa được xác định, Sinegubko đã chia sẻ một truy vấn tìm kiếm cho thấy hơn ba chục trang hiện bị nhiễm tập lệnh phân tích độc hại.
Tuy nhiên, trái ngược với tên của nó, tệp phân tích không liên quan gì đến việc thu thập số liệu trang web:
Phân tích tệp analytics.js, nhà nghiên cứu nhận thấy mã có tham chiếu đến tệp "/wp-admin/user-new.php", đây là trang quản trị WordPress để tạo người dùng mới. Hơn nữa, mã truy cập vào biến _wpnonce_create-user mà WordPress sử dụng để thực thi các biện pháp bảo vệ chống lại tấn công gửi yêu cầu giả mạo (CSRF).
Nói chung, việc có thể lấy hoặc thiết lập CSRF tokens sẽ cho phép kẻ tấn công thực hiện các yêu cầu giả mạo với các quyền trên trang web của người dùng.
Việc đưa các tập lệnh như thế này vào trang web WordPress cho phép những kẻ tấn công tiến hành nhiều hoạt động độc hại khác nhau, bao gồm lừa đảo Magecart để đọc lướt thẻ tín dụng cũng như chuyển hướng người dùng đến các trang lừa đảo. Người dùng có thể bị chuyển hướng đến các cuộc khảo sát giả mạo, lừa đảo hỗ trợ công nghệ, được yêu cầu đăng ký nhận thông báo spam hoặc tải xuống các tiện ích mở rộng trình duyệt không mong muốn.
Trong trường hợp này, hàm checkme() cố gắng chuyển hướng cửa sổ trình duyệt của người dùng đến một URL độc hại.
Đặc biệt, dòng 15 của tập lệnh phân tích analytics.js chứa một URL được mã hóa với các ký tự được biểu thị dưới dạng số ASCII. Khi giải mã, URL được xác định là:
Mã:
https://blow.talkingaboutfirms[.]ga/?sid=54745-33-674347-21&cid=378345&pidi=654368&aid=27833Đầu tiên, tập lệnh analytics.js chuyển hướng người dùng đến URL này, sau đó tiếp tục đưa người dùng qua một loạt chuyển hướng đến các URL spam.
Các trang liên tục nhắc người dùng "Cho phép" thông báo trình duyệt để xác minh họ không phải là robot hoặc dẫn đến các cuộc khảo sát giả nhằm thu thập dữ liệu người dùng.
Nếu người dùng nhấp vào "Cho phép", chuỗi chuyển hướng tiếp tục đưa họ qua các tên miền và trang web khác nhau, hiển thị cho người dùng cùng một thông báo theo những cách sáng tạo hơn.
Dưới đây là một cuộc khảo sát spam mà người dùng được dẫn đến bởi URL này:
Một truy vấn nhằm tìm kiếm các miền bị nhiễm bởi mã độc này tiết lộ thêm hơn hai chục trang web bị nhiễm.
Mạng lưới các URL spam được sử dụng trong chuỗi chuyển hướng cũng rất lớn với nhiều tên miền đang hoạt động.
Hiện tại, tệp analytics.js độc hại và URL được đề cập không bị phát hiện bởi hơn 90% công cụ chống virus, với tỷ lệ phát hiện trên VirusTotal khá thấp.
Do đó, việc thực hiện quét bảo mật các trang web của bạn bằng cách chỉ dựa vào quét dựa trên chữ ký có thể không đủ để phát hiện mã giả ẩn trong các trang web WordPress.
Nhà nghiên cứu vẫn chưa biết làm thế nào mà các tập lệnh này được đưa vào hoặc xâm nhập vào các trang web của các máy chủ bị xâm nhập.
Nếu trang web của bạn sử dụng WordPress hoặc các plugin JavaScript phổ biến như jQuery Migrate, bạn nên thường xuyên thực hiện kiểm tra bảo mật kỹ lưỡng và kiểm tra các điểm bất thường có thể cho thấy dấu hiệu của hoạt động độc hại.
Theo: bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: