Tin tặc đang tiến hành các cuộc tấn công quy mô lớn vào các trang web WordPress để chèn các tập lệnh buộc trình duyệt của khách truy cập đặt mật khẩu bruteforce cho các trang web khác.
Chiến dịch này lần đầu tiên công ty an ninh mạng trang web Sucuri được phát hiện, công ty đang theo dõi một tác nhân đe dọa được biết đến với việc vi phạm các trang web để chèn các tập lệnh rút tiền điện tử.
Trình rút tiền điện tử là các tập lệnh độc hại đánh cắp tất cả tiền điện tử và tài sản khi ai đó kết nối ví của họ.
Khi mọi người truy cập các trang web bị xâm nhập này, các tập lệnh sẽ hiển thị thông báo sai lệch để thuyết phục người dùng kết nối ví của họ với trang web. Tuy nhiên, một khi họ làm như vậy, các tập lệnh sẽ đánh cắp tất cả nội dung có trong đó.
Những tập lệnh này đã trở nên rất phổ biến trong năm qua, với việc các tác nhân đe dọa tạo ra các trang web Web3 giả mạo bằng công cụ rút tiền. Sau đó, họ hack tài khoản X, tạo video YouTube hoặc lấy quảng cáo của Google và X để quảng bá trang web và đánh cắp tiền điện tử của khách truy cập.
Các nhà nghiên cứu của Sucuri đã báo cáo rằng các tác nhân đe dọa đã xâm nhập vào các trang web WordPress bị xâm nhập để đưa công cụ rút ví AngelDrainer vào nhiều đợt từ nhiều URL, đợt cuối cùng là ‘dynamiclink[.]lol/cachingjs/turboturbo.js.’
Vào cuối tháng 2, kẻ đe dọa đã chuyển từ việc rút ví sang chiếm quyền điều khiển trình duyệt của khách truy cập để tấn công các trang web WordPress khác bằng cách sử dụng tập lệnh độc hại từ miền mới đăng ký ‘dynamic-linx[.]com/chx.js”.
Xây dựng đội quân tàn bạo
Theo một báo cáo mới từ Sucuri, kẻ đe dọa đang sử dụng các trang web WordPress bị xâm nhập để tải các tập lệnh buộc trình duyệt của khách truy cập tiến hành các cuộc tấn công bruteforce để lấy thông tin đăng nhập tài khoản trên các trang web khác.
Cuộc tấn công bruteforce là khi kẻ đe dọa cố gắng đăng nhập vào tài khoản bằng các mật khẩu khác nhau để đoán đúng. Với thông tin xác thực, kẻ đe dọa có thể đánh cắp dữ liệu, tiêm các tập lệnh độc hại hoặc mã hóa các tệp trên trang web.
Trong chiến dịch hack này, những kẻ đe dọa đã xâm phạm một trang web WordPress để đưa mã độc vào các mẫu HTML. Khi khách truy cập truy cập trang web, các tập lệnh sẽ được tải trong trình duyệt của họ từ https://dynamic-linx[.]com/chx.js.
Các tập lệnh này sẽ khiến trình duyệt lặng lẽ liên hệ với máy chủ của kẻ đe dọa tại ‘https://dynamic-linx[.]com/getTask.php’ để nhận tác vụ bruteforce mật khẩu.
Tác vụ này xuất hiện dưới dạng tệp JSON chứa các tham số cho cuộc tấn công bruteforce: ID, URL trang web, tên tài khoản, một số biểu thị loạt mật khẩu hiện tại cần xem qua và một trăm mật khẩu cần thử.
Ví dụ về tác vụ JSON bruteforce
Nguồn: BleepingComputer
Sau khi nhận được tác vụ, tập lệnh sẽ khiến trình duyệt của khách truy cập lặng lẽ tải tệp lên bằng giao diện XMLRPC của trang WordPress bằng tên tài khoản và mật khẩu trong dữ liệu JSON.
Nếu mật khẩu chính xác, tập lệnh sẽ thông báo cho máy chủ của kẻ đe dọa rằng mật khẩu đã được tìm thấy cho trang web. Sau đó, hacker có thể kết nối với trang web để lấy tệp đã tải lên bao gồm tên người dùng và mật khẩu được mã hóa base64.
Tập lệnh khiến trình duyệt bắt buộc thông tin đăng nhập của trang web
Nguồn: BleepingComputer
Miễn là trang vẫn mở, tập lệnh độc hại sẽ khiến trình duyệt web liên tục kết nối trở lại máy chủ của kẻ tấn công và truy xuất một tác vụ mới để thực thi.
Theo công cụ tìm kiếm mã nguồn HTML PublicHTML, hiện có hơn 1.700 trang web bị tấn công bằng các tập lệnh này hoặc trình tải của chúng, cung cấp một lượng lớn người dùng sẽ vô tình bị đưa vào đội quân bạo lực phân tán này.
Nhà nghiên cứu Germán Fernández của CronUp phát hiện ra rằng trang web của Hiệp hội Ngân hàng Tư nhân Ecuador đã bị xâm phạm trong chiến dịch này, hoạt động này là tấn công watering hole làm cho nạn nhân không nghi ngờ.
Không rõ lý do tại sao các tác nhân đe dọa lại chuyển từ việc chuyển công cụ rút tiền điện tử sang tấn công bruteforce trên các trang web khác. Tuy nhiên, Sucuri tin rằng chúng sẽ xây dựng một danh mục trang web rộng lớn hơn để từ đó thực hiện các cuộc tấn công tiếp theo ở quy mô lớn hơn, chẳng hạn như các cuộc tấn công rút tiền điện tử.
Nhà nghiên cứu Denis Sinegubko của Sucuri kết luận: “Rất có thể, chúng nhận ra rằng ở quy mô infection của chúng (~ 1000 trang web bị xâm nhập), những kẻ rút tiền điện tử vẫn chưa mang lại nhiều lợi nhuận”.
“Hơn nữa, chúng thu hút quá nhiều sự chú ý và tên miền của chúng bị chặn khá nhanh. Vì vậy, việc này có vẻ hợp lý khi chuyển payload bằng thứ gì đó lén lút hơn, đồng thời có thể giúp tăng danh mục các trang web bị xâm phạm nhằm ứng phó với các làn sóng lây nhiễm trong tương lai mà chúng sẽ có thể kiếm tiền bằng cách này hay cách khác.”
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/cac-trang-web-wordpress-bi-tan-cong-su-dung-trinh-duyet-cua-khach-truy-cap-de-hack-cac-trang-web-khac
