Hàng nghìn trang web WordPress trong tầm ngắm của tin tặc
Các nhà nghiên cứu an ninh mạng đã báo cáo một chiến dịch lớn đưa mã JavaScript độc hại vào các trang web WordPress để chuyển hướng lưu lượng truy cập đến các trang web lừa đảo và độc hại, tạo ra lưu lượng truy cập không mong muốn.
Theo Krasimir Konov, một nhà phân tích tại Sucuri, các trang web đang đưa mã JavaScript vào các tệp và cơ sở dữ liệu, bao gồm các tệp WordPress cốt lõi. Điểm chung của các trang web nạn nhân là điều hướng đến miền drakefollow.
Trang có nội dung độc hại được chuyển hướng đến |
Trong phần lớn các trường hợp, hai tệp jquery.min.js và jquery-migrate.min.js đã có mã xáo trộn (Obfuscation) và được kích hoạt khi tải trang. Điều này cho phép những kẻ tấn công chuyển hướng lưu lượng truy cập từ người dùng đến các trang web độc hại.
Điều này liên quan đến việc lây nhiễm các tệp như jquery.min.js và jquery-migrate.min.js với JavaScript bị xáo trộn được kích hoạt trên mỗi lần tải trang, cho phép những kẻ tấn công chuyển hướng khách truy cập trang web đến mà họ chọn.
\N
Công ty bảo mật trang web thuộc sở hữu của GoDaddy cho biết các tên miền được chuyển hướng đến có thể được sử dụng để tải quảng cáo, nội dung lừa đảo, phần mềm độc hại hoặc thậm chí kích hoạt một loạt các điều hướng khác.
Trong một số trường hợp, người dùng được đưa đến một trang chứa mã CAPTCHA giả, mã này đã phân phát quảng cáo được ngụy trang dưới dạng thông báo của hệ điều hành.
Chiến dịch này được phát hiện vào ngày 9/5, và ghi nhận 322 trang web bị nhiễm mã độc. Vào tháng 4, một loạt các cuộc tấn công tương tự đã xâm nhập vào hơn 6.500 trang web chạy WordPress CMS.
Nhà phân tích bảo mật cho biết thủ đoạn của kẻ tấn công là nhắm vào nhiều lỗ hổng trong các plugin và chủ đề WordPress để xâm nhập và chèn mã độc.