VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng tại Sucuri gần đây đã phát hiện ra một cửa hậu quan trọng có thể xâm nhập vào hàng nghìn trang web trong vài tháng qua.

Một nhóm tác nhân đe dọa chịu trách nhiệm về chiến dịch phần mềm độc hại có tên "chuyển hướng mũ đen" đã tăng phạm vi hoạt động của họ bằng cách kết hợp hơn 70 tên miền giả mạo bắt chước các dịch vụ rút ngắn URL.


Những kẻ tấn công đã tìm cách lây nhiễm phần mềm độc hại này vào một số lượng đáng kể các trang web, với số lượng hiện tại đã vượt quá 10.890.

1. Khách truy cập đang được chuyển hướng đến các trang web bị tấn công

Mục tiêu chính của hoạt động này vẫn là gian lận quảng cáo, bao gồm việc sử dụng các kỹ thuật bất hợp pháp để tăng lượng lưu lượng truy cập một cách giả tạo đến các trang web có ID AdSense và quảng cáo Google. Hoạt động này được thực hiện với mục đích tạo ra doanh thu thông qua các phương tiện gian lận.

Gần đây, nhiều sản phẩm khác nhau của Google như Google Ads, Google Home và Google Drive đã được sử dụng để phát tán phần mềm độc hại và các thành phần có hại khác. Điều này đã được xác nhận là có thật và làm dấy lên mối lo ngại về tính bảo mật và an toàn của các sản phẩm này.

Công ty con của GoDaddy lần đầu tiên tiết lộ hoạt động độc hại vào tháng 11 năm 2022, sau khi công ty này được tập đoàn GoDaddy mua lại.

Chiến dịch này bắt đầu vào tháng 9 năm ngoái và đang chuyển hướng khách truy cập đến các trang web WordPress bị xâm nhập tới các cổng hỏi đáp giả mạo. Đây là mối đe dọa tiềm ẩn đối với an ninh và quyền riêng tư của những cá nhân có thể vô tình tiết lộ thông tin nhạy cảm.

Rõ ràng, điều này nhằm mục đích tăng cường thẩm quyền của các trang web spam trong công cụ tìm kiếm để chúng xuất hiện cao hơn trong kết quả tìm kiếm.


Tương tự như cuộc tấn công bằng phần mềm độc hại trước đó, người ta nhận thấy rằng làn sóng phần mềm độc hại mới nhất cũng đang cố gắng chuyển hướng lưu lượng truy cập internet thông qua các tìm kiếm của Google. Bằng cách đó, những kẻ tấn công nhằm mục đích làm cho lưu lượng truy cập được chuyển hướng trở nên hợp pháp.

2. Lạm dụng công cụ rút ngắn URL

Sucuri phát hiện ra rằng tất cả các trang web bị nhiễm đều đang sử dụng hệ thống quản lý nội dung WordPress. Kết quả là các tệp hợp pháp trên các trang web đã bị hỏng với tập lệnh PHP bị xáo trộn.

Chiến dịch mới nhất có một tính năng quan trọng khiến nó khác biệt với các chiến dịch trước đó. Trong các chuyển hướng của họ, nó sử dụng các liên kết kết quả tìm kiếm Bing, dịch vụ rút gọn liên kết của Twitter và cả Google.

Việc sử dụng các dịch vụ này của chiến dịch cho thấy một động thái chiến lược nhằm tránh bị phát hiện bởi các biện pháp an ninh. Điều này cho thấy sự mở rộng dấu chân của tác nhân đe dọa.

3. Phân tích tấn công

Các nhà nghiên cứu của Sucuri gần đây đã phát hiện ra hơn 75 tên miền URL giả ngắn có liên quan đến lưu lượng truy cập được chuyển hướng. Khám phá này đã được thực hiện trong suốt hai tháng qua.

Điều quan trọng cần nhấn mạnh là phần lớn các URL độc hại được phát hiện đều được liên kết với một dịch vụ rút ngắn URL duy nhất. Tất cả các trang web Câu hỏi2Trả lời chất lượng thấp đều hoàn toàn liên quan đến tiền điện tử hoặc công nghệ chuỗi khối.


Có ý kiến cho rằng những quảng cáo này có thể là một phần của gian lận ICO bơm và đổ có chủ ý, nơi các loại tiền điện tử mới được quảng cáo.

Mặc dù thiếu bằng chứng thuyết phục, các nhà nghiên cứu tin tưởng rằng mục đích chính của gian lận quảng cáo là tăng lưu lượng truy cập trang web một cách giả tạo để hiển thị quảng cáo Google và tạo doanh thu thông qua ID AdSense.

Những trang web độc hại này được biết là đã chèn mã bị xáo trộn vào các tệp quan trọng, chẳng hạn như wp-blog-header.php. Mã này có thể gây hại bằng cách thao túng hành vi của trang web bị ảnh hưởng và có khả năng ảnh hưởng đến tính bảo mật của người dùng.

Để đảm bảo phần mềm độc hại không bị phát hiện và khử trùng, mã này hoạt động như một cửa hậu. Để cố gắng che giấu bản thân, phần mềm độc hại áp dụng chiến lược tạm dừng chuyển hướng trong khoảng thời gian từ 2 đến 6 giờ bất cứ khi nào quản trị viên đăng nhập hoặc người dùng truy cập trang web bị nhiễm virus.

Điều này gây khó khăn cho quản trị viên trang web trong việc phát hiện sự hiện diện của phần mềm độc hại vì hoạt động của nó tạm thời bị đình chỉ trong những trường hợp này. Để ẩn mã độc, mã hóa Base64 được sử dụng.

4. ID AdSense đã sử dụng

Ở đây bên dưới chúng tôi đã đề cập đến tất cả ID AdSense được sử dụng trên các trang web bị nhiễm:-

• en[.]rawafedpor[.]com: ca-pub-8594790428066018
• plus[.]cr-halal[.]com: ca-pub-3135644639015474
• eq[.]yomeat[.]com: ca-pub-4083281510971702
• news[.]istisharaat[.]com: ca-pub-6439952037681188
• vi[.]firstgooal[.]com: ca-pub-5119020707824427
• ust[.]aly2um[.]com: ca-pub-8128055623790566
• btc[.]latest-articles[.]com: ca-pub-4205231472305856
• ask[.]elbwaba[.]com: ca-pub-1124263613222640, ca-pub-1440562457773158

5. Giảm nhẹ tấn công

Dưới đây chúng tôi đã đề cập đến tất cả các biện pháp giảm thiểu được các chuyên gia khuyến nghị cho chủ sở hữu trang web:

• Đảm bảo rằng tất cả phần mềm được cập nhật lên phiên bản mới nhất và đảm bảo rằng nó đã được vá.
• Đảm bảo rằng khu vực quản trị trang web WordPress của bạn có bảo mật 2FA hoặc các hạn chế truy cập khác.
• Ngay lập tức thay đổi tất cả mật khẩu bảng điều khiển và cơ sở dữ liệu.
• Đảm bảo sử dụng mật khẩu mạnh và duy nhất với nhiều biến thể.
• Bảo vệ trang web của bạn khỏi các cuộc tấn công bằng cách đặt nó phía sau tường lửa.