Ước tính hơn một triệu trang web WordPress đã bị lây nhiễm một phần mềm độc hại có tên là Balada Injector kể từ năm 2017.
Chiến dịch này thường khai thác các lỗ hổng trong plugin và theme WordPress để xâm phạm các trang web WordPress. Tin tặc thường che dấu mã nguồn bằng String.fromCharCode, sử dụng các tên miền mới đăng ký để lưu trữ các tệp độc hại trên các tên miền phụ và chuyển hướng mục tiêu đến các trang web lừa đảo.
Các trang web được phát hiện bao gồm trang hỗ trợ kỹ thuật giả mạo, trúng xổ số và các trang CAPTCHA lừa đảo thúc giục người dùng bật thông báo ‘Vui lòng xác minh bạn không phải là người máy’, nhằm cho phép tin tặc gửi quảng cáo spam.
Balada Injector dựa vào hơn 100 tên miền và rất nhiều phương pháp để khai thác các lỗ hổng đã biết (như HTML injection và Site URL) để lấy cắp thông tin đăng nhập cơ sở dữ liệu trong tệp wp-config.php.
Ngoài ra, các cuộc tấn công còn được thiết kế để đọc hoặc tải xuống các tệp tùy ý, bao gồm các bản sao lưu, kết xuất cơ sở dữ liệu, tệp nhật ký và lỗi cũng như tìm kiếm các công cụ như quản trị viên và phpmyadmin có thể đã bị quản trị viên trang web bỏ lại sau khi hoàn thành các nhiệm vụ bảo trì.
Sau đó, phần mềm độc hại cho phép tạo người dùng quản trị viên WordPress giả mạo, thu thập dữ liệu được lưu trữ trong các máy chủ và để lại các backdoor để duy trì truy cập.
Balada Injector tiếp tục mở rộng tìm kiếm từ các thư mục cấp cao nhất được liên kết với hệ thống tệp của trang web bị xâm nhập để tìm các thư mục có quyền ghi thuộc về các trang khác. Theo cách này, khi tin tặc xâm phạm được vào một trang web sẽ có khả năng được cấp quyền truy cập vào một số trang web khác.
Nếu các phương pháp tấn công này không khả dụng, mật khẩu quản trị viên sẽ bị dò đoán (brute-forced) bằng cách sử dụng tập thông tin đăng nhập đã có sẵn. Do đó, người dùng WordPress nên cập nhật phần mềm ngay lập tức, xóa các plugin và theme không sử dụng và sử dụng mật khẩu quản trị viên WordPress mạnh để đảm an toàn.
Những phát hiện này được đưa ra vài tuần sau khi Palo Alto Networks Unit 42 phát hiện ra một chiến dịch tấn công chèn JavaScript độc hại tương tự nhằm chuyển hướng truy cập của người dùng đến các trang lừa đảo và phần mềm quảng cáo. Hơn 51.000 trang web đã bị ảnh hưởng kể từ năm 2022.
Nguồn: Thehackernews.com