Hơn 1.000 trang web chạy trên nền tảng WordPress đã bị nhiễm một đoạn mã JavaScript của bên thứ ba, đoạn mã này đã chèn bốn backdoor riêng biệt

“Việc tạo ra bốn backdoor tạo điều kiện cho kẻ tấn công có nhiều điểm xâm nhập lại nếu một trong số chúng bị phát hiện và loại bỏ,” nhà nghiên cứu Himanshu Anand của c/side cho biết trong một phân tích hôm thứ Tư

Đoạn mã JavaScript độc hại được phát hiện là được phân phối thông qua cdn.csyndication[.]com. Tại thời điểm viết bài, có tới 908 trang web chứa tham chiếu đến tên miền này

Chức năng của bốn backdoor được giải thích dưới đây

:

•

Backdoor 1: tải lên và cài đặt một plugin giả mạo có tên “Ultra SEO Processor”, sau đó được sử dụng để thực thi các lệnh do kẻ tấn công phát hành

.

•

Backdoor 2: chèn JavaScript độc hại vào wp-config.php

.

•

Backdoor 3: thêm khóa SSH do kẻ tấn công kiểm soát vào tệp ~/.ssh/authorized_keys để cho phép truy cập từ xa liên tục vào máy

.

•

Backdoor 4: được thiết kế để thực thi các lệnh từ xa và tải xuống một payload khác từ gsocket[.]io, có khả năng để mở một reverse shell

.

Để giảm thiểu rủi ro do các cuộc tấn công gây ra, người dùng nên xóa các khóa SSH trái phép, thay đổi thông tin đăng nhập quản trị WordPress và theo dõi nhật ký hệ thống để phát hiện các hoạt động đáng ngờ

.

Diễn biến này xảy ra khi công ty an ninh mạng tiết lộ một chiến dịch phần mềm độc hại khác đã xâm nhập hơn 35.000 trang web bằng JavaScript độc hại, “hoàn toàn chiếm quyền điều khiển cửa sổ trình duyệt của người dùng” để chuyển hướng khách truy cập trang web đến các nền tảng cờ bạc bằng tiếng Trung Quốc

.

“Cuộc tấn công dường như nhắm mục tiêu hoặc xuất phát từ các khu vực mà tiếng Quan Thoại phổ biến, và các trang đích cuối cùng hiển thị nội dung cờ bạc dưới thương hiệu ‘Kaiyun’”

.

Việc chuyển hướng xảy ra thông qua JavaScript được lưu trữ trên năm tên miền khác nhau, đóng vai trò là trình tải cho payload chính chịu trách nhiệm thực hiện việc chuyển hướng

:

•

mlbetjs[.]com

•

ptfafajs[.]com

•

zuizhongjs[.]com

•

jbwzzzjs[.]com

•

jpbkte[.]com

Những phát hiện này cũng theo sau một báo cáo mới từ Group-IB về một tác nhân đe dọa có tên là ScreamedJungle, kẻ này đã chèn một đoạn mã JavaScript có tên Bablosoft JS vào các trang web Magento bị xâm nhập để thu thập dấu vân tay của người dùng truy cập. Hơn 115 trang web thương mại điện tử được cho là đã bị ảnh hưởng cho đến nay

.

Đoạn script bị chèn là “một phần của bộ Bablosoft BrowserAutomationStudio (BAS),” công ty có trụ sở tại Singapore cho biết, đồng thời nói thêm rằng nó “chứa một số chức năng khác để thu thập thông tin về hệ thống và trình duyệt của người dùng truy cập trang web bị xâm nhập”

.

Người ta cho rằng kẻ tấn công đang khai thác các lỗ hổng đã biết ảnh hưởng đến các phiên bản Magento dễ bị tấn công (ví dụ: CVE-2024-34102 hay còn gọi là CosmicSting và CVE-2024-20720) để xâm nhập vào các trang web. Tác nhân đe dọa có động cơ tài chính này được phát hiện lần đầu tiên vào cuối tháng 5 năm 2024

.

“Dấu vân tay trình duyệt là một kỹ thuật mạnh mẽ thường được các trang web sử dụng để theo dõi hoạt động của người dùng và điều chỉnh các chiến lược tiếp thị,” Group-IB cho biết. “Tuy nhiên, thông tin này cũng bị tội phạm mạng khai thác để bắt chước hành vi của người dùng hợp pháp, trốn tránh các biện pháp bảo mật và thực hiện các hoạt động gian lận”

.