WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
[Update] Chiến dịch mã độc Soaksoak thay đổi phương thức tấn công
Cập nhật ngày 25/12/2015: Một phân tích gần đây cho thấy không phải lúc nào tội phạm mạng cũng chỉ dựa vào soaksoak.ru để tấn công, bởi trang web này đã bị Google chặn khi phát hiện chứa mã độc. Trong một biến thể được tìm thấy, file “swfobject.js” không còn liên hệ với website nữa mà tạo ra một đối tượng Flash với file “wp-includes/js/swfobjct.swf”. Mục đích tin tặc là làm rối một số đoạn mã JavaScript trong trình duyệt Mozilla Firefox và Internet Explore 11. Đối tượng Flash này 100% là mã độc nhưng lại không bị bất kỳ phần mềm diệt virus nào trên VirusTotal nhận định là độc hại. (Nguồn: Softpedia)
Hãng an ninh mạng Sucuri vừa công bố phát hiện mã độc lây nhiễm từ trang web SoakSoak.ru của Nga ảnh hưởng tới hơn 100.000 website WordPress. WordPress không phải là nền tảng duy nhất bị tác động.
Tony Perez, Chủ tịch Hội đồng quản trị của Sucuri khẳng định mã độc đã thay đổi file “wp-includes/template-loader.php”, chèn thêm file JavaScript độc hại lên từng trang của website. Bước tiếp theo của cơ chế lây nhiễm mã độc là tải mã độc JavaScript từ SoakSoak.ru.
Cuối tuần qua, Google đưa 11.000 tên miền có liên kết với mã độc SoakSoak vào danh sách đen của hãng.
Không có thông tin về véc-tơ tấn công (attack vector), nhưng theo đánh giá trên tình hình hiện tại, Perez cho rằng có khả năng mã độc lây nhiễm thông qua một lỗ hổng trên plug-in Slider Revolution Premium (giải pháp trình chiếu slide) đã được vá trước đó.
Tuy nhiên, việc phát hành bản vá cho Slider Revolution Premium khá âm thầm, vì vậy rất nhiều người dùng vẫn cài đặt các phiên bản lỗi trên website của họ.
Những người dùng mua plug-in này trực tiếp từ ThemePunch - đơn vị phát triển Slider Revolution Premium - sẽ nhận được bản cập nhật vá lỗ hổng tự động, nhưng số khác thì phải cập nhật thủ công vì lý do plug-in được bao gồm trong các gói chủ đề giao diện và nhà phát triển của các gói này không thể cập nhật bản mới cho Slider Revolution.
ThemePunch không thông báo tới khách hàng của họ về phiên bản mới, hoặc mối hiểm họa khi chạy phiên bản chưa vá lỗi, dẫn đến tình trạng nhiều website bị nhiễm mã độc trong tháng 9 vừa qua. Con số website bị ảnh hưởng đã vượt quá 1.000.
Các nhà quản trị mạng có thể kiểm tra liệu website của họ có bị ảnh hưởng hay không bằng cách sử dụng bộ quét miễn phí của Sucuri. Bộ quét này vừa được cập nhật thêm các dấu hiệu của nguy cơ nêu trên.
Hiện tại, Google đang chặn truy cập SoakSoak.ru, trình duyệt Chrome sẽ đưa cảnh báo đỏ về mã độc. Diagnostic page - tính năng chẩn đoán tình trạng site cho SoakSoak.ru cũng bị Google chặn vì bị phát hiện có phần mềm độc hại.
Dấu hiệu bị ảnh hưởng bởi mã độc bao gồm hành vi lạ của website như chuyển hướng đến website độc hại, hoặc trình duyệt tự tải file về mà không cần sự đồng ý của người dùng.
Ngay cả khi Slider Revolution không phải là nguyên nhân của việc lây nhiễm mã độc này, các quản trị viên cũng nên kiểm tra xem mình có đang sử dụng phiên bản mới nhất trên website không.
Hãng an ninh mạng Sucuri vừa công bố phát hiện mã độc lây nhiễm từ trang web SoakSoak.ru của Nga ảnh hưởng tới hơn 100.000 website WordPress. WordPress không phải là nền tảng duy nhất bị tác động.
Tony Perez, Chủ tịch Hội đồng quản trị của Sucuri khẳng định mã độc đã thay đổi file “wp-includes/template-loader.php”, chèn thêm file JavaScript độc hại lên từng trang của website. Bước tiếp theo của cơ chế lây nhiễm mã độc là tải mã độc JavaScript từ SoakSoak.ru.
Cuối tuần qua, Google đưa 11.000 tên miền có liên kết với mã độc SoakSoak vào danh sách đen của hãng.
Không có thông tin về véc-tơ tấn công (attack vector), nhưng theo đánh giá trên tình hình hiện tại, Perez cho rằng có khả năng mã độc lây nhiễm thông qua một lỗ hổng trên plug-in Slider Revolution Premium (giải pháp trình chiếu slide) đã được vá trước đó.
Tuy nhiên, việc phát hành bản vá cho Slider Revolution Premium khá âm thầm, vì vậy rất nhiều người dùng vẫn cài đặt các phiên bản lỗi trên website của họ.
Những người dùng mua plug-in này trực tiếp từ ThemePunch - đơn vị phát triển Slider Revolution Premium - sẽ nhận được bản cập nhật vá lỗ hổng tự động, nhưng số khác thì phải cập nhật thủ công vì lý do plug-in được bao gồm trong các gói chủ đề giao diện và nhà phát triển của các gói này không thể cập nhật bản mới cho Slider Revolution.
ThemePunch không thông báo tới khách hàng của họ về phiên bản mới, hoặc mối hiểm họa khi chạy phiên bản chưa vá lỗi, dẫn đến tình trạng nhiều website bị nhiễm mã độc trong tháng 9 vừa qua. Con số website bị ảnh hưởng đã vượt quá 1.000.
Các nhà quản trị mạng có thể kiểm tra liệu website của họ có bị ảnh hưởng hay không bằng cách sử dụng bộ quét miễn phí của Sucuri. Bộ quét này vừa được cập nhật thêm các dấu hiệu của nguy cơ nêu trên.
Hiện tại, Google đang chặn truy cập SoakSoak.ru, trình duyệt Chrome sẽ đưa cảnh báo đỏ về mã độc. Diagnostic page - tính năng chẩn đoán tình trạng site cho SoakSoak.ru cũng bị Google chặn vì bị phát hiện có phần mềm độc hại.
Dấu hiệu bị ảnh hưởng bởi mã độc bao gồm hành vi lạ của website như chuyển hướng đến website độc hại, hoặc trình duyệt tự tải file về mà không cần sự đồng ý của người dùng.
Ngay cả khi Slider Revolution không phải là nguyên nhân của việc lây nhiễm mã độc này, các quản trị viên cũng nên kiểm tra xem mình có đang sử dụng phiên bản mới nhất trên website không.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành:
