WordPress Backdoor mới tạo tài khoản quản trị viên lừa đảo để chiếm quyền điều khiển trang web
Một phần mềm độc hại mới đã giả dạng là một plugin bộ nhớ đệm hợp pháp để nhắm mục tiêu vào các trang web WordPress, cho phép các tác nhân đe dọa tạo tài khoản quản trị viên và kiểm soát hoạt động của trang web.
Phần mềm độc hại là một backdoor với nhiều chức năng cho phép quản lý các plugin và ẩn mình khỏi các plugin đang hoạt động trên các trang web bị xâm nhập, thay thế nội dung hoặc chuyển hướng một số người dùng đến các vị trí độc hại.
Chi tiết plugin giả mạo
Các nhà phân tích tại Defiant, nhà sản xuất plugin bảo mật Wordfence cho WordPress, đã phát hiện ra phần mềm độc hại mới vào tháng 7 khi đang dọn dẹp một trang web.
Khi xem xét kỹ hơn backdoor, các nhà nghiên cứu nhận thấy rằng nó có "một bình luận mở đầu trông chuyên nghiệp" để ngụy trang dưới dạng một công cụ lưu vào bộ nhớ đệm, thường giúp giảm tải cho máy chủ và cải thiện thời gian tải trang.
Vì vậy, việc quyết định bắt chước một công cụ như vậy là có chủ ý, đảm bảo nó không bị phát hiện trong quá trình kiểm tra thủ công. Ngoài ra, plugin độc hại được thiết lập để loại chính nó khỏi danh sách “plugin đang hoạt động” như một phương tiện để trốn tránh sự giám sát.
Phần mềm độc hại có các khả năng sau:
- Tạo người dùng - Một chức năng tạo một người dùng có tên 'superadmin' với mật khẩu được mã hóa cứng và quyền cấp quản trị viên, trong khi chức năng thứ hai có thể xóa người dùng đó để xóa dấu vết lây nhiễm.
Tạo người dùng quản trị lừa đảo trên trang web (Wordfence)
- Phát hiện bot – Khi khách truy cập được xác định là bot (ví dụ: trình thu thập thông tin của công cụ tìm kiếm), phần mềm độc hại sẽ cung cấp cho họ những nội dung khác nhau, chẳng hạn như thư rác, khiến họ lập chỉ mục trang web bị xâm nhập để tìm nội dung độc hại. Do đó, quản trị viên có thể thấy lưu lượng truy cập tăng đột ngột hoặc có báo cáo từ người dùng phàn nàn về việc bị chuyển hướng đến các vị trí độc hại.
- Thay thế nội dung – Phần mềm độc hại có thể thay đổi bài đăng và nội dung trang cũng như chèn các liên kết hoặc nút spam. Quản trị viên trang web được cung cấp nội dung chưa sửa đổi để trì hoãn việc thực hiện hành vi xâm phạm.
- Kiểm soát plugin – Kẻ điều hành phần mềm độc hại có thể kích hoạt hoặc hủy kích hoạt từ xa các plugin WordPress tùy ý trên trang web bị xâm nhập. Nó cũng xóa dấu vết khỏi cơ sở dữ liệu của trang web, vì vậy hoạt động này vẫn bị ẩn.
Kiểm soát kích hoạt/hủy kích hoạt plugin (Wordfence)
- Gọi từ xa – Backdoor kiểm tra các chuỗi tác nhân người dùng cụ thể, cho phép kẻ tấn công kích hoạt từ xa các chức năng độc hại khác nhau.
Các nhà nghiên cứu cho biết trong một báo cáo: “Kết hợp lại với nhau, những tính năng này cung cấp cho kẻ tấn công mọi thứ chúng cần để kiểm soát từ xa và kiếm tiền từ trang web nạn nhân, gây tổn hại đến thứ hạng SEO của chính trang web đó và quyền riêng tư của người dùng”.
Hiện tại, Defiant không cung cấp bất kỳ thông tin chi tiết nào về số lượng trang web bị nhiễm phần mềm độc hại mới và các nhà nghiên cứu của nó vẫn chưa xác định được vectơ truy cập ban đầu.
Các phương pháp điển hình để xâm phạm trang web bao gồm thông tin đăng nhập bị đánh cắp, mật khẩu cưỡng bức hoặc khai thác lỗ hổng trong plugin hoặc chủ đề hiện có.
Defiant đã phát hành chữ ký phát hiện cho người dùng phiên bản Wordfence miễn phí và thêm quy tắc tường lửa để bảo vệ người dùng Premium, Care và Response khỏi backdoor.
Do đó, chủ sở hữu trang web nên sử dụng thông tin xác thực mạnh mẽ và duy nhất cho tài khoản quản trị viên, cập nhật plugin của họ cũng như xóa người dùng và tiện ích bổ sung không sử dụng.
Nguồn: bleepingcomputer.com
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA