Ngày 10 tháng 4 năm 2023Ravie LakshmananBảo mật web / Phần mềm độc hại
Hơn một triệu trang web WordPress được ước tính đã bị lây nhiễm bởi một chiến dịch đang triển khai phần mềm độc hại có tên Đầu phun Balada kể từ năm 2017.
Chiến dịch lớn, theo Sucuri của GoDaddy, “tận dụng tất cả các lỗ hổng plugin và chủ đề đã biết và được phát hiện gần đây” để vi phạm các trang web WordPress. Các cuộc tấn công được biết là diễn ra theo từng đợt vài tuần một lần.
Nhà nghiên cứu bảo mật Denis Sinegubko cho biết: “Chiến dịch này dễ dàng được xác định bởi sở thích che giấu String.fromCharCode, việc sử dụng các tên miền mới đăng ký lưu trữ các tập lệnh độc hại trên các tên miền phụ ngẫu nhiên và bằng cách chuyển hướng đến các trang web lừa đảo khác nhau”.
Các trang web bao gồm hỗ trợ kỹ thuật giả mạo, trúng thưởng xổ số gian lận và các trang CAPTCHA lừa đảo thúc giục người dùng bật thông báo ‘Vui lòng cho phép xác minh rằng bạn không phải là người máy', do đó cho phép các tác nhân gửi quảng cáo spam.
Báo cáo được xây dựng dựa trên những phát hiện gần đây từ Doctor Web, trong đó trình bày chi tiết về một dòng phần mềm độc hại Linux khai thác các lỗ hổng trong hơn hai chục plugin và chủ đề để xâm phạm các trang web WordPress dễ bị tấn công.
Trong những năm tạm thời, Balada Injector đã dựa vào hơn 100 miền và rất nhiều phương pháp để tận dụng các lỗ hổng bảo mật đã biết (ví dụ: tiêm HTML và URL trang web), với những kẻ tấn công chủ yếu cố lấy thông tin đăng nhập cơ sở dữ liệu trong wp-config. tập tin php.
Ngoài ra, các cuộc tấn công được thiết kế để đọc hoặc tải xuống các tệp trang web tùy ý – bao gồm các bản sao lưu, kết xuất cơ sở dữ liệu, tệp nhật ký và lỗi – cũng như tìm kiếm các công cụ như quản trị viên và phpmyadmin có thể đã bị quản trị viên trang web bỏ lại sau khi hoàn thành các nhiệm vụ bảo trì.
Phần mềm độc hại cuối cùng cho phép tạo người dùng quản trị viên WordPress giả mạo, thu thập dữ liệu được lưu trữ trong các máy chủ cơ bản và để lại các cửa hậu để truy cập liên tục.
Balada Injector tiếp tục thực hiện các tìm kiếm rộng rãi từ các thư mục cấp cao nhất được liên kết với hệ thống tệp của trang web bị xâm nhập để xác định vị trí các thư mục có thể ghi thuộc về các trang web khác.
Sinegubko cho biết: “Thông thường nhất, các trang web này thuộc về quản trị viên của trang web bị xâm nhập và tất cả chúng đều chia sẻ cùng một tài khoản máy chủ và cùng một quyền đối với tệp”. “Theo cách này, việc xâm phạm chỉ một trang web có khả năng cấp quyền truy cập vào một số trang web khác ‘miễn phí'.”
Nếu các đường dẫn tấn công này không khả dụng, mật khẩu quản trị viên sẽ bị ép buộc bằng cách sử dụng bộ 74 thông tin đăng nhập được xác định trước. Do đó, người dùng WordPress nên cập nhật phần mềm trang web của họ, xóa các plugin và chủ đề không sử dụng và sử dụng mật khẩu quản trị viên WordPress mạnh.
Những phát hiện này được đưa ra vài tuần sau khi Đơn vị 42 của Palo Alto Networks phát hiện ra một chiến dịch tiêm JavaScript độc hại tương tự nhằm chuyển hướng khách truy cập trang web đến các trang lừa đảo và phần mềm quảng cáo. Hơn 51.000 trang web đã bị ảnh hưởng kể từ năm 2022.
Hoạt động này cũng sử dụng String.fromCharCode như một kỹ thuật che giấu dữ liệu, dẫn nạn nhân đến các trang bị gài bẫy để lừa họ bật thông báo đẩy bằng cách giả dạng kiểm tra CAPTCHA giả để phân phát nội dung lừa đảo.
Các nhà nghiên cứu của Đơn vị 42 cho biết: “Mã JS độc hại được đưa vào đã xuất hiện trên trang chủ của hơn một nửa số trang web được phát hiện. “Một chiến thuật phổ biến được sử dụng bởi những người điều hành chiến dịch là đưa mã JS độc hại vào các tên tệp JS được sử dụng thường xuyên (ví dụ: jQuery) có khả năng được đưa vào trang chủ của các trang web bị xâm nhập.”
“Điều này có khả năng giúp những kẻ tấn công nhắm mục tiêu người dùng hợp pháp của trang web, vì họ có nhiều khả năng truy cập trang chủ của trang web hơn.”
