Hơn 6.000 WordPress bị hack để cài đặt plugin độc hại

Các trang web WordPress đang bị tấn công để cài đặt các plugin độc hại hiển thị các bản cập nhật phần mềm giả mạo và lỗi nhằm phát tán mã độc đánh cắp thông tin.

Trong vài năm qua, phần mềm độc hại đánh cắp thông tin đã trở thành mối đe dọa đối với các chuyên gia bảo mật trên toàn thế giới vì thông tin đăng nhập bị đánh cắp được sử dụng để xâm nhập mạng và đánh cắp dữ liệu.

Từ năm 2023, một chiến dịch độc hại có tên ClearFake đã được sử dụng để hiển thị các thông báo cập nhật trình duyệt web giả mạo trên các trang web bị xâm nhập nhằm phát tán phần mềm độc hại đánh cắp thông tin.

Vào năm 2024, một chiến dịch mới có tên ClickFix, có nhiều điểm tương đồng với ClearFake nhưng thay vào đó lại giả dạng là thông báo lỗi phần mềm có kèm theo bản sửa lỗi. Tuy nhiên, những "bản sửa lỗi" này là các tập lệnh PowerShell, khi được thực thi, sẽ tải xuống và cài đặt phần mềm độc hại đánh cắp thông tin.

Các chiến dịch ClickFix ngày càng trở nên phổ biến trong năm nay, với các tác nhân đe dọa xâm nhập vào các trang web để hiển thị thông báo lỗi giả mạo cho Google Chrome , Google Meet conferences, Facebook và thậm chí cả các trang captcha.

Các plugin WordPress độc hại

Tuần trước, GoDaddy báo cáo rằng nhóm tin tặc ClearFake/ClickFix đã xâm nhập hơn 6.000 trang web WordPress để cài đặt các plugin độc hại hiển thị cảnh báo giả mạo liên quan đến các chiến dịch này.

"Nhóm bảo mật GoDaddy đang theo dõi một biến thể mới của phần mềm độc hại cập nhật trình duyệt giả mạo ClickFix (còn gọi là ClearFake) được phát tán thông qua các plugin WordPress giả mạo", nhà nghiên cứu bảo mật Denis Sinegubko của GoDaddy giải thích .

"Những plugin có vẻ hợp pháp này được thiết kế để trông có vẻ vô hại với người quản trị trang web nhưng lại chứa các tập lệnh độc hại được thiết kế để gửi cảnh báo cập nhật trình duyệt giả mạo tới người dùng."

Một số plugin độc hại sử dụng tên tương tự như các plugin hợp pháp, chẳng hạn như Wordfense Security và LiteSpeed ​​Cache.

Công ty bảo mật Sucuri lưu ý rằng plugin giả mạo có tên "Universal Popup Plugin" cũng là một phần của chiến dịch này.

Khi được cài đặt, plugin độc hại sẽ chèn tập lệnh JavaScript độc hại vào mã HTML của trang web. Khi được tải, tập lệnh này sẽ cố tải một tệp JavaScript độc hại khác được lưu trữ trong Binance Smart Chain (BSC) smart contract, sau đó tải tập lệnh ClearFake hoặc ClickFix để hiển thị các biểu ngữ thông báo giả mạo.

Dữ liệu nhật ký truy cập máy chủ web được phân tích bởi Sinegubko cho thấy kẻ tấn công dường như đang sử dụng thông tin đăng nhập quản trị bị đánh cắp để đăng nhập vào trang web WordPress và cài đặt plugin theo cách tự động.

Mặc dù không rõ kẻ tấn công lấy được thông tin đăng nhập bằng cách nào, nhà nghiên cứu lưu ý rằng nó có thể được lấy thông qua các cuộc tấn công bằng công cụ dò quét mật khẩu, lừa đảo và phần mềm độc hại đánh cắp thông tin trước đó.

Nếu bạn điều hành trang WordPress và nhận được báo cáo về cảnh báo giả được hiển thị cho người dùng, bạn nên kiểm tra ngay danh sách plugin đã cài đặt và xóa bất kỳ plugin nào mà bạn không tự cài đặt.

Nếu bạn tìm thấy các plugin không xác định, bạn cũng nên ngay lập tức thay đổi mật khẩu cho bất kỳ người dùng quản trị nào thành mật khẩu mạnh, duy nhất chỉ được sử dụng cho trang web của bạn.

Danh sách các plugin độc hại được phát hiện trong chiến dịch này từ tháng 6 đến tháng 9 năm 2024 là:

- LiteSpeed Cache Classic 

- Custom CSS Injector

- MonsterInsights Classic  

- Custom Footer Generator

- Wordfence Security Classic        

- Custom Login Styler

- Search Rank Enhancer     

- Dynamic Sidebar Manager

- SEO Booster Pro   

- Easy Themes Manager

- Google SEO Enhancer     

- Form Builder Pro

- Rank Booster Pro  

- Quick Cache Cleaner

- Admin Bar Customizer    

- Responsive Menu Builder

- Advanced User Manager 

- SEO Optimizer Pro

- Advanced Widget Manage          

- Simple Post Enhancer

- Content Blocker    

- Social Media Integrator

Nguồn: bleepingcomputer.com.