Hàng trăm trang Web Joomla vàWordPress bị tấn công và phát tán mã độc

127

Các nhà nghiên cứu bảo mật mới đây phát hiện hàng loạt các tên miền đã bị chiếm đoạt nhằm phát tán các phần mềm độc hại, trong đó có malware tống tiền Shade và nhiều loại liên kết lừa đảo nguy hiểm khác tới người dùng.

Các trang web được xây dựng trên hai trong số những hệ quản trị nội dung (CMS) phổ biến nhất sử dụng trong ngành xuất bản đã bị tấn công và lợi dụng để phát tán mã độc tống tiền (ransomware) và nhiều loại phần mềm độc hại (malware) nguy hiểm khác tới người truy cập.

Các tội phạm mạng đang lợi dụng những lỗ hổng trong các phần mở rộng (plug-ins và extensions), giao diện (themes) của các hệ thống WordPress và Joomla nhằm phát tán các mã độc tống tiền và nhiều nội dung độc hại khác.

Các nhà nghiên cứu đến từ công ty bảo mật Zscaler đã mô tả chi tiết cách thức các kẻ tấn công sử dụng một thư mục ẩn trong giao thức HTTPS nhằm phục vụ cho các ý đồ xấu. Thư mục ẩn rất phổ biến này thường được các trang web sử dụng để chứng minh quyền sở hữu tên miền của mình đối với các cơ quan cấp chứng nhận HTTPS. Các cơ quan này sẽ quét trang web để tìm một đoạn mã cho trước nhằm xác minh xem tên miền này có hợp lệ hay không.

Tuy nhiên, bằng cách sử dụng các “mánh” để truy cập vào các trang ẩn đó, những kẻ tấn công có thể bí mật “gài” phần mềm độc hại vào đó mà các nhà quản trị trang web không thể phát hiện ra.

Trong một vài tuần vừa qua, các nhà nghiên cứu đã phát hiện một loạt các mối nguy hại được ẩn giấu trong đường dẫn ẩn nói trên, trong đó có mã độc tống tiền Shade – tên khác là Troldesh – phần mềm độc hại phổ biến nhất được triển khai theo cách này.

Các email spam thường chứa liên kết tới một trang chuyển hướng HTML đặt trên trang web đã bị tấn công, nếu người dùng ấn vào đó sẽ tải về một tập tin nén zip độc hại. Người dùng cần phải mở tập tin JavaScript bên trong file ZIP đó và file JavaScript này sẽ tải phần mềm độc hại về từ trang web đã bị tấn công và kích hoạt nó,” Deepen Desai, Phó Chủ tịch phụ trách nghiên cứu và thực thi bảo mật của Zscaler trả lời phỏng vấn của trang tin ZDNet.

Đã có hơn 500 trang web bị tấn công và hàng nghìn lượt tải đã được thực hiện nhằm phát tán các mã độc tống tiền, liên kết lừa đảo (phishing) và nhiều loại nội dung nguy hại khác.

Mặt khác, các trang lừa đảo dạng phishing được lưu trữ trong các đường dẫn ẩn đã được chứng thực mã hoá SSL, điều đó khiến những người dùng không chú ý kĩ có thể bị lừa cung cấp tên đăng nhập và mật khẩu của mình cho những kẻ tấn công.

Các trang web bị tấn công sử dụng WordPress các phiên bản từ 4.8.9 đến 5.1.1 và dường như đã sử dụng các giao diện cũ không được cập nhật bảo mật, hoặc các phần mềm lỗi thời được cài đặt trên máy chủ. Đây có thể là những nguyên nhân mà các nhà nghiên cứu cho là lý do khiến các website này trở thành mục tiêu của kẻ tấn công.

Hiện vẫn chưa rõ ai là kẻ đứng sau chiến dịch tấn công mạng này, nhưng Zscaler đang thông báo cho các đơn vị sở hữu các trang web bị tấn công về vụ việc này. Danh sách các trang web đó cũng đã được công bố trong bản báo cáo về vụ việc của nhóm nghiên cứu.

BÌNH LUẬN

Please enter your comment!
Please enter your name here