Chiến dịch này do Sucuri theo dõi ngày 11/5/2024. Chiến dịch lạm dụng một plugin WordPress có tên Dessky Snippets, cho phép người dùng thêm mã PHP tùy chỉnh, nó có hơn 200 cài đặt hoạt động.
Các cuộc tấn công lợi dụng các đã biết trong plugin hoặc thông tin xác thực dễ đoán để giành quyền truy cập của quản trị viên và cài đặt các plugin khác (hợp pháp hoặc cách khác) để sau khi khai thác.
Sucuri cho biết plugin Dessky Snippets được sử dụng để chèn phần mềm độc hại đọc lướt thẻ tín dụng PHP phía máy chủ vào các trang web bị xâm nhập và đánh cắp dữ liệu tài chính.
Nhà nghiên cứu bảo mật Ben Martin cho biết: “Mã độc hại này đã được lưu trong tùy chọn dnsp_settings trong bảng wp_options của WordPress và được thiết kế để sửa đổi quy trình thanh toán trong WooC Commerce bằng cách thao tác với biểu mẫu thanh toán và chèn mã riêng của nó”.
Cụ thể, nó được thiết kế để thêm một số trường mới vào biểu mẫu thanh toán yêu cầu chi tiết thẻ tín dụng, bao gồm tên, địa chỉ, số thẻ tín dụng, ngày hết hạn và số Giá trị xác minh thẻ (CVV), sau đó được lọc sang URL "hxxps: //2of[.]cc/wp-content/."
Một khía cạnh đáng chú ý của chiến dịch là biểu mẫu thanh toán được liên kết với lớp phủ giả có thuộc tính tự động hoàn thành bị vô hiệu hóa (tức là tự động hoàn thành = "tắt").
Đây không phải là lần đầu tiên tin tặc sử dụng các plugin đoạn mã hợp pháp cho mục đích xấu. Tháng trước, công ty đã tiết lộ việc lạm dụng plugin đoạn mã WPCode để đưa mã JavaScript độc hại vào các trang web WordPress nhằm chuyển hướng khách truy cập đến các miền VexTrio.
Một chiến dịch phần mềm độc hại khác có tên Sign1 đã bị phát hiện đã lây nhiễm hơn 39.000 trang web WordPress trong sáu tháng qua bằng cách sử dụng tính năng chèn JavaScript độc hại thông qua plugin JS và CSS tùy chỉnh đơn giản để chuyển hướng người dùng đến các trang web lừa đảo.
Chủ sở hữu trang web WordPress, đặc biệt là những trang cung cấp chức năng thương mại điện tử, nên cập nhật trang web và plugin của họ, sử dụng mật khẩu mạnh để ngăn chặn các cuộc tấn công và thường xuyên kiểm tra các trang web để tìm dấu hiệu phần mềm độc hại hoặc bất kỳ thay đổi trái phép nào.
Bá Phúc
14:00 | 08/07/2024
16:00 | 09/08/2024
10:00 | 13/05/2024
13:00 | 27/05/2024
10:00 | 22/04/2024
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
09:00 | 02/08/2024
Chỉ vài ngày sau khi một lỗi trong phần mềm CrowdStrike khiến 8,5 triệu máy tính Windows bị sập, người dùng hệ điều hành này lại đang phải đối mặt với một vấn đề mới sau khi cài đặt bản cập nhật bảo mật tháng 7.
16:00 | 26/07/2024
Nhóm APT có tên là CloudSorcerer đã được phát hiện đang nhắm mục tiêu vào chính phủ Nga bằng cách tận dụng các dịch vụ đám mây để giám sát và kiểm soát (command-and-control, C2) và lọc dữ liệu.
14:00 | 10/07/2024
Juniper Networks đã phát hành bản cập nhật bảo mật mới để giải quyết một lỗ hổng bảo mật nghiêm trọng có thể dẫn đến việc bỏ qua xác thực trong một số bộ định tuyến của hãng.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
14:00 | 24/10/2024
