Cuối tháng 3/2019, một nhà nghiên cứu về bảo mật đã tiết lộ thông tin plug-in (thành phần mở rộng được cài đặt thêm) có tên “Yuzo Related Posts” được cài trên hơn 60.000 website đã bị xóa khỏi thư viện plug-in của Wordpress.org, sau khi phát hiện plug-in này chứa lỗ hổng chưa được vá. Lỗ hổng này cho phép thực hiện tấn công dạng Stored-XSS và hiện đang bị lợi dụng để tấn công các website có cài đặt plug-in sử dụng nền tảng này.
Việc khai thác lỗ hổng này làm cho các cuộc tấn công có thể vượt qua cơ chế bảo vệ của Wordfence (tường lửa của WordPress) khiến tin tặc không cần quyền xác thực cũng có thể chèn các nội dung độc hại, như thêm một đoạn mã Javascript vào trong cấu hình của plug-in. Lợi dụng lỗ hổng này tấn công thay đổi giao diện để lừa đảo người dùng. Sau 11 ngày kể từ khi lỗ hổng bị phát hiện, tin tặc tuyên bố bắt đầu khai thác website có cài đặt “Yuzo Related Posts”. Khi người dùng truy cập website đã bị khai thác, đoạn mã javascript từ máy chủ hellofromhony.com sẽ chuyển hướng họ tới các website lừa đảo hoặc chứa mã độc.
Theo Phân tích của Công ty dịch vụ an ninh mạng SecurityBox, hình thức tấn công này có nhiều điểm tương đồng với tấn công dựa vào 2 lỗ hổng được phát hiện trước đó là Social Warfare và Easy WP SMTP (mã độc cùng được lưu trữ trên máy chủ hellofromhony.org có địa chỉ IP 176.123.9.53). Cả 3 cuộc tấn công đều sử dụng lỗ hổng Stored-XSS và chuyển hướng người dùng tới website độc hại để tiến hành lừa đảo. Do đó, kỹ thuật tấn công và quy trình khai thác cho cả 3 lỗ hổng này khả năng rất lớn đều do một tin tặc gây ra.
Trước thực trạng đáng lo ngại trên, phía Công ty dịch vụ an ninh mạng SecurityBox khuyến cáo chủ sở hữu website gỡ bỏ cài đặt plug-in Yuzo Related đến khi có bản vá sửa lỗi chính thức.
M.C
08:00 | 08/07/2019
08:00 | 08/11/2019
10:00 | 11/05/2020
16:00 | 26/05/2021
14:00 | 03/06/2021
22:00 | 26/01/2020
09:00 | 24/08/2018
16:00 | 18/07/2018
09:00 | 01/02/2018
10:00 | 05/02/2020
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024