Một chiến dịch độc hại mới đã xâm phạm hơn 15.000 trang web WordPress trong nỗ lực chuyển hướng khách truy cập đến các cổng hỏi đáp giả mạo.
Nhà nghiên cứu Ben Martin của Sucuri cho biết trong một báo cáo được công bố vào tuần trước: “Những chuyển hướng độc hại này dường như được thiết kế để tăng thẩm quyền của các trang web của kẻ tấn công đối với các công cụ tìm kiếm”.
Một khía cạnh đáng chú ý của chiến dịch là khả năng tin tặc sửa đổi trung bình hơn 100 tệp trên mỗi trang web, một cách tiếp cận trái ngược hoàn toàn với các cuộc tấn công khác thuộc loại này, trong đó chỉ một số tệp hạn chế bị giả mạo để giảm dấu vết và thoát khỏi sự phát hiện.
Một số trang bị nhiễm phổ biến nhất bao gồm wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc .php, wp-active.php, wp-trackback.php và wp-blog-header.php.
Sự thỏa hiệp rộng rãi này cho phép phần mềm độc hại thực hiện chuyển hướng đến các trang web mà kẻ tấn công lựa chọn. Cần chỉ ra rằng chuyển hướng không xảy ra nếu có cookie wordpress_logged_in hoặc nếu trang hiện tại là wp-login.php (tức là trang đăng nhập) để tránh gây nghi ngờ.
Mục tiêu cuối cùng của chiến dịch là “thúc đẩy nhiều lưu lượng truy cập hơn đến các trang web giả mạo của họ” và “tăng cường quyền hạn của các trang web bằng cách sử dụng các nhấp chuột giả mạo kết quả tìm kiếm để làm cho Google xếp hạng chúng tốt hơn để chúng nhận được nhiều lưu lượng truy cập tìm kiếm không phải trả tiền thực.”
Không rõ ngay lập tức các trang web WordPress bị vi phạm như thế nào và Sucuri cho biết họ không nhận thấy bất kỳ lỗi plugin rõ ràng nào được khai thác để thực hiện chiến dịch.
Điều đó nói rằng, nó bị nghi ngờ là một trường hợp cưỡng bức tài khoản quản trị viên WordPress, điều cần thiết là người dùng phải kích hoạt xác thực hai yếu tố và đảm bảo rằng tất cả phần mềm đều được cập nhật.
