Tin tặc đã sửa đổi mã nguồn của ít nhất 05 plugin được lưu trữ trên WordPress.org để thêm vào các tập lệnh PHP độc hại cho phép tạo tài khoản mới với đặc quyền quản trị trên các trang web sử dụng chúng.
Nhóm Wordfence Threat Intelligence đã phát hiện ra cuộc tấn công vào ngày hôm thứ Hai, nhưng các vụ xâm nhập độc hại dường như đã xảy ra vào cuối tuần trước, từ ngày 21 đến ngày 22 tháng 6.
Wordfence đã thông báo cho các nhà phát triển plugin ngay sau khi phát hiện ra vụ vi phạm. Các bản vá đã được phát hành trong cùng ngày cho hầu hết các sản phẩm.
05 plugin bị ảnh hưởng, đã được cài đặt trên hơn 35.000 trang web, bao gồm:
- Social Warfare 4.4.6.4 đến 4.4.7.1 (đã được khắc phục trong phiên bản 4.4.7.3)
- Blaze Widget 2.2.5 đến 2.5.2 (đã được khắc phục trong phiên bản 2.5.4)
- Phần tử liên kết Wrapper 1.0.2 đến 1.0.3 (đã được khắc phục trong phiên bản 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 đến 1.0.5 (đã được khắc phục trong phiên bản 1.0.7)
- Simply Show Hooks 1.2.1 đến 1.2.2 (chưa có bản vá lỗi)
Wordfence vẫn đang điều tra để làm rõ cách mà kẻ tấn công truy cập vào mã nguồn của plugin. Cuộc tấn công có thể ảnh hưởng đến số lượng plugin WordPress lớn hơn, nhưng bằng chứng hiện tại cho thấy sự xâm phạm chỉ giới hạn ở 05 plugin trên.
Hoạt động của backdoor và IoC
Mã độc trong các plugin bị xâm phạm cố gắng tạo tài khoản quản trị viên mới và đưa SEO spam (thêm các nội dung hoặc liên kết không mong muốn vào trang web nhằm thao túng kết quả tìm kiếm) vào trang web bị xâm nhập.
Wordfence cho biết rằng: “Ở giai đoạn này, chúng tôi nhận thấy phần mềm độc hại được chèn vào sẽ cố gắng tạo một tài khoản quản trị viên mới và sau đó gửi những thông tin đó đến máy chủ do kẻ tấn công kiểm soát”.
Các nhà nghiên cứu cho biết dữ liệu được gửi đến địa chỉ IP 94.156.79[.]8, trong khi các tài khoản quản trị viên được tạo tùy ý được đặt tên là “Options” và “PluginAuth”.
Chủ sở hữu trang web nhận thấy các tài khoản hoặc lưu lượng truy cập đến địa chỉ IP trên nên thực hiện rà quét phần mềm độc hại và loại bỏ hoàn toàn chúng.
“Nếu bạn đã cài đặt bất kỳ plugin nào trong số này, bạn nên xem xét bản cài đặt của mình liệu có bị xâm phạm và ngay lập tức chuyển sang chế độ ứng cứu sự cố” – Wordfence.
Wordfence lưu ý thêm rằng một số plugin bị ảnh hưởng đã tạm thời bị xóa khỏi WordPress.org, điều này có thể khiến người dùng nhận được cảnh báo ngay cả khi họ sử dụng phiên bản vá lỗi.
Nguồn: bleepingcomputer.com.
Mới đây, PIB Fact Check - trang thông tin chuyên đăng tải về các hình thức lừa đảo - đã đưa ra lời cảnh báo về một thủ đoạn mới hết sức tinh vi, liên quan tới dịch vụ vận chuyển hàng hóa của Bưu điện Ấn Độ (Indian Post).
Mới đây, Vsevolod Kokorin - một chuyên gia an ninh mạng đã lên tiếng cảnh báo về hình thức lừa đảo hết sức tinh vi liên quan tới hệ thống thư điện tử của Microsoft. Người này cho biết mình đã phát hiện một lỗ hổng khiến cho những Email đến từ các đối tượng lừa đảo trở nên khó phát hiện hơn.
Giải vô địch bóng đá Châu Âu (EURO 2024) và giải vô địch bóng đá Nam Mỹ năm 2024 (COPA AMERICA 2024) là các sự kiện thể thao, giải trí lớn, thu hút đông đảo người hâm mộ trên thế giới trong đó có Việt Nam, đồng thời cũng là thời điểm phát sinh, gia tăng các hình thức cá độ bóng đá, lôi kéo số lượng người chơi lớn, gây ra rất nhiều hệ lụy, suy thoái kinh tế gia đình, xã hội.
Ngày 14/6, Cơ quan Cảnh sát điều tra (Công an quận Liên Chiểu) cho biết, đang tiến hành điều tra vụ án hình sự "Lừa đảo chiếm đoạt tài sản" xảy ra trên địa bàn.
Thời gian qua, các app cho vay tiền qua iCloud nở rộ, tuy nhiên, khách hàng sẽ phải đối mặt với nhiều rủi ro, nhất là chiêu trò cho vay nặng lãi “biến tướng”.
Ngày 17/6, Công an TPHCM cho biết, gần đây trên địa bàn Thành phố xuất hiện thủ đoạn lừa đảo chiếm đoạt tài sản dưới hình thức giả mạo nhân viên Lotte Cinema tuyển người làm nhiệm vụ kiếm tiền 'hoa hồng'.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
