VietNetwork.Vn

Kẻ tấn công đang sử dụng thư mục "mu-plugins" trong các trang web WordPress để che giấu mã độc với mục đích duy trì quyền truy cập từ xa liên tục và chuyển hướng người truy cập trang web đến các trang web giả mạo.

mu-plugins, viết tắt của must-use plugins, đề cập đến các plugin trong một thư mục đặc biệt ("wp-content/mu-plugins") được WordPress tự động thực thi mà không cần phải bật chúng một cách rõ ràng thông qua bảng điều khiển quản trị. Điều này cũng khiến thư mục trở thành vị trí lý tưởng để dàn dựng phần mềm độc hại.


Nhà nghiên cứu Puja Srivastava của Sucuri cho biết trong một bài phân tích: "Cách tiếp cận này thể hiện một xu hướng đáng lo ngại vì các mu-plugin (Plugin phải sử dụng) không được liệt kê trong giao diện plugin WordPress chuẩn, khiến chúng ít được chú ý hơn và người dùng dễ bỏ qua trong quá trình kiểm tra bảo mật thông thường".

Trong các sự cố được công ty bảo mật trang web phân tích, ba loại mã PHP độc hại khác nhau đã được phát hiện trong thư mục -

    "wp-content/mu-plugins/redirect.php," chuyển hướng người truy cập trang web đến một trang web độc hại bên ngoài
    "wp-content/mu-plugins/index.php", cung cấp chức năng giống như web shell, cho phép kẻ tấn công thực thi mã tùy ý bằng cách tải xuống tập lệnh PHP từ xa được lưu trữ trên GitHub
    "wp-content/mu-plugins/custom-js-loader.php," chèn thư rác không mong muốn vào trang web bị nhiễm, có thể với mục đích thúc đẩy lừa đảo hoặc thao túng thứ hạng SEO, bằng cách thay thế tất cả hình ảnh trên trang web bằng nội dung khiêu dâm và chiếm đoạt các liên kết đi đến các trang web độc hại

Sucuri cho biết "redirect.php" ngụy trang thành bản cập nhật trình duyệt web để đánh lừa nạn nhân cài đặt phần mềm độc hại có thể đánh cắp dữ liệu hoặc thả thêm dữ liệu.

"Script bao gồm một chức năng xác định xem khách truy cập hiện tại có phải là bot hay không", Srivastava giải thích. "Điều này cho phép script loại trừ trình thu thập thông tin của công cụ tìm kiếm và ngăn chúng phát hiện hành vi chuyển hướng".

Sự phát triển này diễn ra khi các tác nhân đe dọa tiếp tục sử dụng các trang web WordPress bị nhiễm làm nơi dàn dựng để lừa người truy cập trang web chạy các lệnh PowerShell độc hại trên máy tính Windows của họ dưới dạng xác minh Google reCAPTCHA hoặc Cloudflare CAPTCHA - một chiến thuật phổ biến được gọi là ClickFix - và phát tán phần mềm độc hại Lumma Stealer.


Các trang web WordPress bị tấn công cũng đang được sử dụng để triển khai JavaScript độc hại có thể chuyển hướng người truy cập đến các tên miền của bên thứ ba không mong muốn hoặc hoạt động như một công cụ thu thập thông tin để đánh cắp thông tin tài chính được nhập trên các trang thanh toán.

Hiện tại vẫn chưa biết các trang web này bị xâm phạm như thế nào, nhưng nghi phạm thường là các plugin hoặc giao diện dễ bị tấn công, thông tin đăng nhập quản trị bị xâm phạm và cấu hình máy chủ không đúng.

Theo báo cáo mới từ Patchstack, các tác nhân đe dọa đã thường xuyên khai thác bốn lỗ hổng bảo mật khác nhau trong các plugin WordPress kể từ đầu năm -

    CVE-2024-27956 (Điểm CVSS: 9,9) - Lỗ hổng thực thi SQL tùy ý chưa xác thực trong WordPress Automatic Plugin - Trình tạo nội dung AI và plugin tự động đăng bài
    CVE- 2024-25600 (Điểm CVSS: 10.0) - Lỗ hổng thực thi mã từ xa chưa xác thực trong giao diện Bricks
    CVE-2024-8353 (Điểm CVSS: 10.0) - Lỗ hổng tiêm đối tượng PHP chưa xác thực vào thực thi mã từ xa trong plugin GiveWP
    CVE-2024-4345 (Điểm CVSS: 10.0) - Lỗ hổng tải tệp tùy ý chưa xác thực trong Startklar Elementor Addons cho WordPress

Để giảm thiểu rủi ro do các mối đe dọa này gây ra, điều cần thiết là chủ sở hữu trang web WordPress phải cập nhật plugin và giao diện, thường xuyên kiểm tra mã để phát hiện phần mềm độc hại, áp dụng mật khẩu mạnh và triển khai tường lửa ứng dụng web để chặn các yêu cầu độc hại và ngăn chặn việc đưa mã độc vào.