Một chiến dịch độc hại mới đã xâm phạm hơn 15.000 trang web WordPress để chuyển hướng người dùng đến các cổng hỏi đáp giả mạo.
Nhà nghiên cứu Ben Martin của Sucuri cho biết trong một báo cáo được công bố vào tuần trước: “Những trang web giả mạo này được thiết kế để lọt top trong các công cụ tìm kiếm”.
Kỹ thuật nhiễm độc công cụ tìm kiếm được thiết kế để quảng cáo “một số trang web giả mạo của các tác nhân độc hại”.
Một khía cạnh đáng chú ý của chiến dịch là khả năng tin tặc sửa đổi trung bình hơn 100 tệp trên mỗi trang web, một cách tiếp cận trái ngược hoàn toàn với các cuộc tấn công khác thuộc loại này, trong đó chỉ một số tệp hạn chế bị giả mạo để giảm dấu vết và thoát khỏi sự phát hiện.
Một số trang bị nhiễm phổ biến nhất bao gồm wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc .php, wp-activate.php, wp-trackback.php và wp-blog-header.php.
Tấn công rộng rãi này cho phép phần mềm độc hại thực hiện chuyển hướng đến các trang web mà kẻ tấn công lựa chọn. Cần chỉ ra rằng chuyển hướng không xảy ra nếu có cookie wordpress_logged_in hoặc nếu trang hiện tại là wp-login.php (tức là trang đăng nhập) để tránh gây nghi ngờ.
Mục tiêu cuối cùng của chiến dịch là “thu hút nhiều lưu lượng truy cập hơn đến các trang web giả mạo” và “tăng uy tín của các trang web bằng cách sử dụng các lần click vào kết quả tìm kiếm giả mạo để giúp Google xếp hạng chúng tốt hơn để chúng nhận được nhiều lưu lượng truy cập tìm kiếm mà không cần trả tiền quảng cáo.”
Mã độc được đưa vào đạt được điều này bằng cách bắt đầu chuyển hướng đến ảnh PNG được lưu trữ trên một miền có tên ” ois[.]is “, thay vì tải một hình ảnh, sẽ đưa khách truy cập trang web đến một URL kết quả tìm kiếm trên Google của một miền Hỏi & Đáp spam.
Hiện chưa rõ các trang web WordPress bị xâm phạm như thế nào và Sucuri cho biết họ không nhận thấy bất kỳ lỗi plugin rõ ràng nào đang bị khai thác để thực hiện chiến dịch.
Điều đó nói rằng, nó bị nghi ngờ là một trường hợp tấn công vét cạn tài khoản quản trị viên WordPress, điều cần thiết là người dùng phải kích hoạt xác thực hai yếu tố và đảm bảo rằng tất cả phần mềm đều được cập nhật.
Nguồn: https://thehackernews.com/