Công ty bảo mật thuộc GoDaddy cho biết chiến dịch Balada Injector tận dụng lỗ hổng trong các plugin và giao diện (Themes) được phát hiện để tấn công các website WordPress theo từng đợt vài tuần một lần.

Báo cáo dựa trên những phát hiện của Doctor Web, trình bày chi tiết về một dòng phần mềm độc hại trên Linux khai thác các lỗ hổng trong hơn 20 plugin và themes để xâm nhập vào các website WordPress dễ bị tấn công.

Balada Injector đã dùng hơn 100 tên miền và nhiều phương pháp để khai thác các lỗi bảo mật đã được biết đến, những kẻ tấn công thường sẽ tìm cách lấy thông tin xác thực cơ sở dữ liệu (lưu ở tập tin wp-config.php). Phần mềm độc hại được thiết kế để đọc hoặc tải xuống các tập tin từ website như các bản sao lưu, cơ sở dữ liệu, nhật ký và lỗi... cũng như tìm kiếm các công cụ quản trị (như phpmyadmin) có thể bị quản trị viên website bỏ lại sau khi hoàn thành nhiệm vụ bảo trì.

Phần mềm độc hại còn giúp tạo tài khoản giả mạo quản trị viên WordPress, thu thập dữ liệu được lưu trữ trong các máy chủ cơ bản và để lại các cửa hậu (backdoors) để giữ truy cập liên tục. Balada Injector cũng tìm kiếm các thư mục cấp cao nhất được liên kết với hệ thống tập tin của website bị xâm nhập để xác định vị trí có thể thuộc về các website khác.

Lỗi bảo mật trên plugin và themes của WordPress là mục tiêu của Balada Injector Chụp màn hình

Các chuyên gia bảo mật cho biết thông thường các website bị xâm nhập đều chia sẻ cùng một tài khoản máy chủ và cùng một quyền đối với tập tin. Vì vậy việc xâm phạm được một website cũng giúp tạo khả năng cấp quyền truy cập vào một số trang web khác.

Vì vậy, người dùng WordPress nên cập nhật phần mềm trên website, xóa các plugin và giao diện không sử dụng và sử dụng mật khẩu quản trị viên WordPress mạnh.

Báo cáo được công bố chỉ vài tuần sau khi đơn vị 42 của Palo Alto Networks phát hiện ra một chiến dịch tiêm JavaScript độc hại để chuyển hướng truy cập đến các trang lừa đảo và phần mềm quảng cáo. Hơn 51.000 website dùng nền tảng WordPress đã bị ảnh hưởng kể từ năm 2022.

Các nhà nghiên cứu của đơn vị 42 cho biết mã JS độc hại được đưa vào trang chủ của hơn một nửa số website WordPress được phát hiện. Đây là chiến thuật phổ biến được sử dụng bởi những kẻ thực hiện chiến dịch là chèn chúng vào các tên tập tin JS được sử dụng thường xuyên như jQuery đặt trên trang chủ của các website bị xâm nhập.

Theo Loan Chi/ Thanh Niên

https://thanhnien.vn/hon-1-trieu-website-dung-wordpress-nhiem-malware-185230411090359611.htm