Công cụ YODA mới đã phát hiện 47.337 plugin độc hại trên 24.931 trang web khác nhau, trong đó 3.685 plugin đã được bán trên các thị trường hợp pháp và mang về cho những kẻ tấn công 41.500 đô doanh thu bất hợp pháp.
YODA được thiết kế để phát hiện các plugin WordPress giả mạo và truy tìm nguồn gốc của chúng, được triển khai trong một nghiên cứu kéo dài 8 năm của nhóm nghiên cứu từ Viện Công nghệ Georgia.
Trong bài báo có tiêu đề "Mistrust Plugins You Must", các nhà nghiên cứu cho biết "những kẻ tấn công đã mạo danh tác giả của các plugin hợp pháp để phát tán phần mềm độc hại thông qua các plugin vi phạm bản quyền".
"Số lượng các plugin độc hại trên các trang web đã tăng đều trong những năm qua và hoạt động đỉnh điểm vào tháng 3 năm 2020. Đáng chú ý, 94% các plugin độc hại được cài đặt trong 8 năm này vẫn còn hoạt động cho đến bây giờ."
Nghiên cứu đã phân tích các plugin WordPress được cài đặt trong 410.122 máy chủ web khác nhau từ năm 2012 và phát hiện các plugin độc hại có tổng giá trị khoảng 834.000 đô đã bị lây nhiễm.
YODA có thể được tích hợp trực tiếp vào một trang web hay một máy chủ web hoặc được triển khai bởi một plugin marketplace. Ngoài việc phát hiện các tiện ích bổ sung ẩn dấu phần mềm độc hại, framework cũng có thể được sử dụng để xác định nguồn gốc và quyền sở hữu của các plugin.
Điều này được thực hiện bằng cách phân tích các tệp mã nguồn phía máy chủ và meta-data được liên kết để phát hiện các plugin, và phân tích cú pháp (syntactic) và ngữ nghĩa (semantic) để gắn nhãn hành vi độc hại.
Các semantic model dùng để xác định hành vi độc hại bao gồm web shell, hàm (function) cho phép chèn bài đăng mới, chèn và thực thi mã, spam, code obfuscation, blackout SEO, malware downloader, quảng cáo độc hại và các công cụ khai thác tiền điện tử.
Một số phát hiện đáng chú ý:
- 3.452 plugin được cung cấp trên các thị trường plugin hợp pháp tạo điều kiện cho các hoạt động spam
- 40.533 plugin đã bị lây nhiễm sau khi triển khai trên 18.034 trang web
- 8.525 các plugin hoặc theme WordPress đã bị giả mạo để phát tán mã độc.
Các nhà nghiên cứu cho biết “sử dụng YODA có thể giúp chủ sở hữu trang web, nhà cung cấp dịch vụ lưu trữ (hosting) phát hiện các plugin độc hại cũng như hỗ trợ các nhà phát triển và thị trường plugin có thể kiểm tra các plugin trước khi cung cấp cho người dùng”.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Mã khai thác cho CVE-2022-22972 - lỗ hổng cho phép tin tặc giành được quyền quản trị viên đã được tiết lộ công khai
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đang cảnh báo về lỗ hổng zero-day mới trong Microsoft Office có thể bị lạm dụng để thực thi mã tùy ý trên các hệ thống Windows bị ảnh hưởng.
Tín nhiệm mạng | Google đã khắc phục một lỗ hổng thực thi mã từ xa nghiêm trọng mới ảnh hưởng đến bản Dev Channel của Google Chrome
Tín nhiệm mạng | Bốn lỗ hổng mức cao được phát hiện trong một framework được sử dụng trong các ứng dụng trên hàng triệu thiết bị Android có thể bị khai thác để cài cắm backdoor và chiếm quyền kiểm soát thiết bị.
Tín nhiệm mạng | Zyxel đã phát hành các bản vá để giải quyết bốn lỗ hổng bảo mật ảnh hưởng đến các thiết bị AP, API Controller và firewall, cho phép đối tượng tấn công lấy cắp thông tin và thực thi command tùy ý.
Tín nhiệm mạng | Nhóm tội phạm mạng khét tiếng Conti đã chính thức tan rã để chuyển sang hoạt động dưới dạng các nhóm nhỏ hơn, bao gồm Karakurt và Nintyyte.