Chiến dịch này do Sucuri theo dõi ngày 11/5/2024. Chiến dịch lạm dụng một plugin WordPress có tên Dessky Snippets, cho phép người dùng thêm mã PHP tùy chỉnh, nó có hơn 200 cài đặt hoạt động.
Các cuộc tấn công lợi dụng các lỗ hổng đã biết trong plugin WordPress hoặc thông tin xác thực dễ đoán để giành quyền truy cập của quản trị viên và cài đặt các plugin khác (hợp pháp hoặc cách khác) để sau khi khai thác.
Sucuri cho biết plugin Dessky Snippets được sử dụng để chèn phần mềm độc hại đọc lướt thẻ tín dụng PHP phía máy chủ vào các trang web bị xâm nhập và đánh cắp dữ liệu tài chính.
Nhà nghiên cứu bảo mật Ben Martin cho biết: “Mã độc hại này đã được lưu trong tùy chọn dnsp_settings trong bảng wp_options của WordPress và được thiết kế để sửa đổi quy trình thanh toán trong WooC Commerce bằng cách thao tác với biểu mẫu thanh toán và chèn mã riêng của nó”.
Cụ thể, nó được thiết kế để thêm một số trường mới vào biểu mẫu thanh toán yêu cầu chi tiết thẻ tín dụng, bao gồm tên, địa chỉ, số thẻ tín dụng, ngày hết hạn và số Giá trị xác minh thẻ (CVV), sau đó được lọc sang URL "hxxps: //2of[.]cc/wp-content/."
Một khía cạnh đáng chú ý của chiến dịch là biểu mẫu thanh toán được liên kết với lớp phủ giả có thuộc tính tự động hoàn thành bị vô hiệu hóa (tức là tự động hoàn thành = "tắt").
Đây không phải là lần đầu tiên tin tặc sử dụng các plugin đoạn mã hợp pháp cho mục đích xấu. Tháng trước, công ty đã tiết lộ việc lạm dụng plugin đoạn mã WPCode để đưa mã JavaScript độc hại vào các trang web WordPress nhằm chuyển hướng khách truy cập trang web đến các miền VexTrio.
Một chiến dịch phần mềm độc hại khác có tên Sign1 đã bị phát hiện đã lây nhiễm hơn 39.000 trang web WordPress trong sáu tháng qua bằng cách sử dụng tính năng chèn JavaScript độc hại thông qua plugin JS và CSS tùy chỉnh đơn giản để chuyển hướng người dùng đến các trang web lừa đảo.
Chủ sở hữu trang web WordPress, đặc biệt là những trang cung cấp chức năng thương mại điện tử, nên cập nhật trang web và plugin của họ, sử dụng mật khẩu mạnh để ngăn chặn các cuộc tấn công và thường xuyên kiểm tra các trang web để tìm dấu hiệu phần mềm độc hại hoặc bất kỳ thay đổi trái phép nào.
Bá Phúc
14:00 | 08/07/2024
16:00 | 09/08/2024
10:00 | 13/05/2024
10:00 | 21/11/2024
10:00 | 22/04/2024
13:00 | 27/05/2024
09:00 | 08/01/2025
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
12:00 | 23/12/2024
Mỹ tuyên bố thưởng 10 triệu USD cho người cung cấp thông tin về tin tặc Trung Quốc bị cáo buộc tấn công 81.000 thiết bị tường lửa.
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
07:00 | 17/10/2024
Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.
Mã độc tống tiền (Ransomware) là một loại mã độc mã hóa, được xem là mối đe dọa mạng nguy hiểm nhất. Nó được phát triển với mục đích mã hóa dữ liệu và nạn nhân phải trả một số tiền nhất định để lấy lại dữ liệu hoặc ngăn dữ liệu của mình không bị rao bán trên mạng. Trong bài báo này sẽ giới thiệu lịch sử phát triển của ransomware cũng như thực trạng hiện tại của ransomware và các kỹ thuật được sử dụng để từ đó đưa ra các biện pháp giảm thiểu nguy cơ.
09:00 | 03/02/2025