Mã độc WordPress chuyển hướng website đến trang lừa đảo
Trung Nguyen
Trong một vài tuần qua, các nhà nghiên cứu đã phát hiện một loại mã độc WordPress nguy hiểm đã lây nhiễm trên rất nhiều website sử dụng nền tảng WordPress.
Tin tặc sử dụng mã độc này nhằm chuyển hướng người dùng để đến trang hỗ trợ giả mạo. Ở trang này sẽ cảnh báo máy tính của họ bị nhiễm phần mềm nguy hiểm và máy tính sẽ bị vô hiệu hoá nếu họ không gọi đường dây nóng hỗ trợ được hiển thị trên thông báo.
Google, CyStack và một số nhà cung cấp bảo mật web khác hiện đang lập danh sách đen và đưa ra cảnh báo trước khi người dùng truy cập trong quá trình chuyển hướng.
>> Top 5 plugin bảo mật WordPress tốt nhất
Các cuộc gọi hỗ trợ lừa đảo
Cần lưu ý rằng số điện thoại trên các trang lừa đảo được tạo tự động tạo, điều này cho phép kẻ tấn công lợi dụng để tạo ra nhiều chiến dịch lừa đảo khác nhau.
Chuyện gì xảy ra khi bạn thay đổi tham số số điện thoại trong URL thành ?Number=. Đó là một thông báo pop-up sẽ xuất hiện trên màn hình như ảnh dưới đây:
Giải mã mã độc WordPress
Khi tiến hành kiểm tra thủ công vấn đề trở nên rõ ràng:
Tập lệnh này đã được nhúng hàng trăm lần vào bài đăng của họ. Như chúng ta có thể thấy, phần mềm độc hại đã đảo ngược tên miền và URL của payload. .split(“”).reverse().join(“”) – để ngăn chặn việc bị phát hiện.
CyStack Scanning có thể giúp bạn quét ra những bài đăng, trang web đang bị nhiễm loại mã độc WordPress nguy hiểm này. Quét mã độc Javascript trên website tại đây.
Làm sạch website
Các đoạn mã độc WordPress được thêm vào CSDL bằng một mã độc backdoor được tải lên máy chủ. Các trường hợp bị tấn công là do website sử dụng các phiên bản cũ và có lỗ hổng chưa được vá của WordPress. Hoặc do tài khoản FTP, tài khoản quản trị đã bị lộ. Trong bất kỳ trường hợp nào, một khi mã độc đã được đặt trên trang web, kẻ tấn công có thể làm bất cứ điều gì họ muốn. Bạn cần kiểm tra lại phiên bản của các themes, plug-in trong trang WordPress của mình. Đơn giản hơn, bạn có thể sử dụng CyStack Scanning để quét các lỗ hổng bảo mật cho website.
Việc gỡ bỏ mã độc này rất dễ dàng vì tất cả các kịch bản tiêm mã độc đều giống hệt nhau. Chỉ cần tìm kiếm mã độc và thay thế trong bảng wp_posts của cơ sở dữ liệu.
Thử nghiệm
Các nhà nghiên cứu đã thử tiến hành gọi điện đến số điện thoại hỗ trợ giả mạo và hỏi về cách giải quyết. Kết quả là tin tặc đã yêu cầu nhấn phím Windows + R để thực hiện lệnh Run. Mở Task Manager để chỉ cho họ thấy máy tính cá nhân bị nhiễm phần mềm độc hại. Tiếp theo, tin tặc thuyết phục mua gói “hỗ trợ” đắt tiền để khắc phục “sự cố” này.
Tăng cường nhận thức về lừa đảo
Khi nghe những kịch bản trên, ý nghĩ đầu tiên xuất hiện trong đầu của mọi người là chỉ một người già không hiểu về công nghệ mới tin những điều kẻ lừa đảo nói. Thật thú vị, một nghiên cứu gần đây của Microsoft cho thấy điều ngược lại hoàn toàn. Những người trẻ từ 20-40 tuổi dễ bị rơi vào những loại trò gian lận này. Điều cần thiết là phải phổ biếnnhận thức để những người xung quanh để họ không trở thành nạn nhân của những trò lừa bịp này.
Nếu bạn đã từng bị chuyển hướng đến một trong những trang web giả mạo này. Nếu bạn nhận được một thông báo hoặc quảng cáo nói rằng máy tính của bạn bị nhiễm mã độc. Hãy là một người sử dụng Internet thông minh để không phải trở thành nạn nhân.
Xem thêm bài phân tích chuyên sâu của chúng tôi về một loại mã độc đào tiền ảo nguy hiểm: https://cystack.net/research/phan-tich-ma-doc-dao-tien-ao/
